Jak usunąć wirusa blokującego cmd i antywirusy, setup.exe*32 problem

Witam,
przyszło mi się zmierzyć z bardzo nietypowym wirusem. Przewinęło się ich w moim życiu wiele i na ogół sobie z nimi radziłem, ale ten jest nieuchwytny i nieustępliwy. Dostrzegłem takie objawy:
- automatycznie zamyka mi wiersz poleceń(cmd) gdy tylko próbuję go otworzyć(okienko pojawia się i od razu znika)
- dostrzegłem niepożądany proces o nazwie setup.exe*32(kiedy otworzyłem lokalizację pliku okazało się, że nie mogę go usunąć ponieważ jest chroniony przez niejaki TrustedInstaller)
- kiedyś udało mi się go usunąć za pomocą Malwarabytes i myślałem, że wszystko jest ok do dziś, ale o tym w następnym punkcie
- po wprowadzeniu w wyszukiwarkę nazwy jakiegokolwiek programu antywirusowego freezuje on przeglądarkę, tak że muszę wyłączyć ją usuwając procesy(dziś uświadomiłem sobie, że problem nadal istnieje kiedy chciałem przeczytać artykuł o Malwarebytes, a przeglądarka została znowu zawieszona po próbie wejścia na stronę)
Bardzo proszę o pomoc oraz instrukcje jak sobie z tym poradzić. Z góry dziękuję za pomoc.
Pozdrawia serdecznie!

Trzeba by było przeczytać inne wątki w tym dziale i zamieścić wymagane logi tj. frst.txt i addition.txt https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

krzychupar napisał:

Trzeba by było przeczytać inne wątki w tym dziale i zamieścić wymagane logi tj. frst.txt i addition.txt https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Po wejściu w podany link wirus ponownie zamroził przeglądarkę co uniemożliwiło nawet pobranie pliku, a z tego co kojarzę przy samych instalacjach też robił problemy. Będę próbował sobie poradzić jakoś z instalacją, ale będę też wdzięczny za inne podpowiedzi.

Dodano po 17 [minuty]:

krzychupar napisał:

Trzeba by było przeczytać inne wątki w tym dziale i zamieścić wymagane logi tj. frst.txt i addition.txt https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Udało mi się zrobić takie skanowanie w trybie awaryjnym. Przesyłam rezultaty.

Wykonaj Fixlist.txt dla FRST:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-676744006-1220416197-2067044661-1000_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\DELL\AppData\Local\Microsoft\OneDrive\17.3.6799.0327\amd64\FileCoAuthLib64.dll => Brak pliku
Task: {06C7B67A-D737-4660-9587-EC1A02C90E1F} - System32\Tasks\{AC77F291-01D8-4EE8-AC4F-5453E331D5B0} => C:\Windows\system32\pcalua.exe -a C:\Windows\ipuninst.exe -c -fC:\Program Files\BlackIsle\Fallout2\uninst.log
Task: {40B68D7C-ABEC-4279-AF4A-378AB958A554} - System32\Tasks\{EF1CD62A-6AFC-47D2-AAE5-990081E7DEE8} => C:\Windows\system32\pcalua.exe -a C:\Users\DELL\Downloads\Theme.Hospital.v2.1.0.8-GOG\Lang_PL\Theme.Hospital.lang.pl.exe -d C:\Users\DELL\Downloads\Theme.Hospital.v2.1.0.8-GOG\Lang_PL
C:\Program Files (x86)\teOuoLaYkz.exe
Task: {4E2988AB-2CB7-4E48-B3CE-22E71D515713} - System32\Tasks\{84D8F9D5-2E33-44E2-9C16-5B9FF2E22914} => C:\Program Files (x86)\teOuoLaYkz.exe [2009-07-14] (Microsoft Corporation)gle Inc.)
Task: {84DC5051-39C4-4A9B-A1B4-8AB9EEC0CA1A} - System32\Tasks\{2F7D063A-3665-449B-BB44-0043AC898EC1} => C:\Windows\system32\pcalua.exe -a C:\Users\DELL\Downloads\Muzyka\Memu-Setup-5.1.0.1.exe -d C:\Users\DELL\Downloads\Muzyka
Task: {C35AF4D6-2840-486C-B25C-EDEB2B1F67C2} - System32\Tasks\{5C6444E7-48B4-40EB-91E6-31C3E4D27614} => C:\Windows\system32\pcalua.exe -a C:\Users\DELL\Downloads\Setup.exe -d C:\Users\DELL\Downloads
C:\Users\DELL\dCruuSh.exe
Task: {F89B1BEC-33AC-4455-81D9-F36E5C5D5704} - System32\Tasks\{1758A824-2886-43C6-AA58-54E54E77C2D9} => C:\Users\DELL\dCruuSh.exe
Task: {FEA5E2EE-ACE6-4410-BA5B-FEF18FF6AEBF} - System32\Tasks\{E613D5B1-E5A0-42B9-8300-1DF23A5F4E04} => C:\Windows\system32\pcalua.exe -a "C:\Users\DELL\Downloads\Muzyka\Super Mario Bros PC Installer.exe" -d C:\Users\DELL\Downloads\Muzyka -c -el -s2 "-dC:\Program Files (x86)\Super Mario Bros" "-p" "-sp"
C:\Program Files (x86)\teOuoLaYkz.exe
FirewallRules: [{B33E8DBD-E696-4D2B-8B1E-8AB47F67A8CE}] => (Allow) C:\Program Files (x86)\teOuoLaYkz.exe
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-12-12] (Oracle Corporation)
GroupPolicy: Ograniczenia ? <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 cpuz130; \??\C:\Users\DELL\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] <==== UWAGA
2018-11-13 08:49 - 2018-11-13 16:08 - 006161408 _____ C:\Users\DELL\AppData\Local\dump007.dat
2009-07-14 02:14 - 2009-07-14 02:14 - 000073216 ____N (Microsoft Corporation) C:\Program Files (x86)\teOuoLaYkz.exe
2018-11-13 08:49 - 2018-11-13 16:08 - 006161408 _____ () C:\Users\DELL\AppData\Local\dump007.dat
2018-03-21 09:13 - 2018-03-21 09:13 - 000000002 _____ () C:\Users\DELL\AppData\Local\WMI.ini

Po wykonaniu usun katalog C:\FRST i to wszystko.

Na ten moment wygląda na to, że problemy ustały- mam nadzieję, że na dobre. Bardzo dziękuję za pomoc.

Usuń C:\FRST i zamknij temat.