Problem z wirusem (najprawdopodobniej koparka kryptowalut)

Witam, ostatnio złapałem dość wrednego wirusa, z którym walczę do tej pory. Jestem niemal pewny, że jest to wirus do kopania kryptowalut. Gdy na parę minut odchodzę od komputera zaczyna głośno pracować, gdy otwieram menedżer zadań w celu sprawdzenia co powoduje tak wielkie "męczenie się" komputera, komputer cichnie i wszystko wraca do normy. Skan FRST poniżej pokazuje coś niepokojącego. Co mam w takim wypadku uczynić?

Otwórz notatnik i wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-644176339-2480050833-926211639-1001\...\Run: [GalaxyClient] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
HKU\S-1-5-21-644176339-2480050833-926211639-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
S3 MpKsl45f9123f; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{ADAD6FF3-3529-4155-97ED-951A17779D2F}\MpKslDrv.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie masz FRST.exe.
Uruchom FRST i kliknij w Fix/Napraw.

Zrob skan przy pomocy Mbam i usun to co wykryje.

Wykonaj Fixlist.txt dla FRST:
CloseProcesses:
HKU\S-1-5-21-644176339-2480050833-926211639-1001\...\Run: [GalaxyClient] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
HKU\S-1-5-21-644176339-2480050833-926211639-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
Edge HKLM-x32\...\Edge\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-10-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-10-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
S3 MpKsl45f9123f; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{ADAD6FF3-3529-4155-97ED-951A17779D2F}\MpKslDrv.sys [X]
2021-06-12 01:34 - 2021-06-12 01:34 - 006611920 _____ (EnigmaSoft Limited) C:\Users\arval\Downloads\SpyHunter-5.10-71-8514-Installer.exe
2021-05-25 13:49 - 2021-05-25 13:49 - 000000000 ____D C:\Users\arval\Downloads\FRST-OlderVersion
2021-05-25 13:37 - 2021-05-25 13:37 - 031178032 _____ (Piriform Software Ltd) C:\Users\arval\Downloads\cctrialsetup.exe
2021-05-22 17:33 - 2021-05-22 17:33 - 000000000 ____D C:\AdwCleaner
2021-05-22 15:48 - 2021-05-22 15:48 - 000220784 _____ (AVAST Software) C:\Users\arval\Downloads\avast_free_antivirus_setup_online (1).exe
2021-05-22 15:34 - 2021-05-22 15:35 - 000000000 ____D C:\Users\arval\AppData\LocalLow\gC9tT2iQ3s
2021-05-22 15:30 - 2021-05-23 17:53 - 015728640 _____ C:\WINDOWS\system32\C_32770.NLS
2021-05-22 15:29 - 2021-05-29 12:23 - 000000000 ____D C:\Users\arval\Documents\VlcpVideoV1.0.1
2021-05-22 15:29 - 2021-05-27 18:57 - 000000000 ____D C:\FontWinhostPerfsvc
2021-05-22 15:29 - 2021-05-25 08:06 - 000000000 ___HD C:\Users\arval\AppData\Roaming\WinSupport
2021-05-22 15:29 - 2021-05-23 21:50 - 000000000 ____D C:\Program Files (x86)\Company
2021-05-22 15:29 - 2021-05-22 15:29 - 000000000 ____D C:\Users\arval\AppData\Local\NetSupport
2021-05-22 15:29 - 2021-05-22 15:29 - 000000000 ____D C:\Users\arval\AppData\Local\AdvinstAnalytics
2021-05-22 17:33 - 2021-04-20 11:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2021-05-22 17:33 - 2021-04-20 11:25 - 000000000 ____D C:\Users\arval\AppData\Local\Lavasoft

Sciagnij i uruchom plik reg z zalacznika: https://www.elektroda.pl/rtvforum/download.php?id=1052002 nastepnie aktualizuj system.

Wykonałem czynności powyżej, jednak z jakiegoś powodu nie mogę zaktualizować systemu, kod błędu: (0x80070424)

Uruchomiles plik reg do ktorego link podalem? Jezeli tak i nadal nie dziala po resecie to zamiesc nowe logi z FRST, ze skanowania.

Logi z FRST:

Usunales wszystko co wykryl Mbam? Infekcje masz nadal aktywna, wiec zgaduje, ze nie...

Zrob jeszcze skan przy pomocy Cureit.

Wykonaj taki Fixlist.txt:
Combo Cleaner (HKLM\...\{8C9F8853-52F7-46F3-BC78-98001D3FF40C}) (Version: 1.0.44.0 - RCS LT) Hidden

Po wykonaniu odinstaluj Combo Cleaner.

Wykonaj kolejny Fixlist.txt dla FRST:
CloseProcesses:
HKLM\...\Run: [Combo Cleaner] => C:\Program Files (x86)\Combo Cleaner\ComboCleaner.exe [1701504 2021-06-10] (RCS LT, UAB -> RCS LT)
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
CHR Extension: (ySpellScan) - C:\ProgramData\Vkmgrw\Plsibm [2021-06-13]
C:\ProgramData\Vkmgrw\
R2 ComboCleaner.Guard; C:\Program Files (x86)\Combo Cleaner\ComboCleaner.Guard.exe [141440 2021-06-10] (RCS LT, UAB -> RCS LT)
R2 ComboCleaner.WinService; C:\Program Files (x86)\Combo Cleaner\ComboCleaner.WinService.exe [150144 2021-06-10] (RCS LT, UAB -> RCS LT)
S3 SophosVirusRemovalTool; C:\Users\arval\Desktop\resources\stage_3_disinfect\sophos_virus_remover\SVRTservice.exe [155720 2021-03-17] (Sophos Ltd -> Sophos Limited)
2021-06-13 23:36 - 2021-06-13 23:36 - 000000000 ___HD C:\ProgramData\Vkmgrw
2021-06-13 23:35 - 2021-06-13 23:35 - 000001265 _____ C:\Users\arval\Downloads\wuauserv (5).zip
2021-06-13 22:55 - 2021-06-13 22:55 - 000001265 _____ C:\Users\arval\Downloads\wuauserv (4).zip
2021-06-13 22:30 - 2021-06-13 22:30 - 000001265 _____ C:\Users\arval\Downloads\wuauserv (3).zip
2021-06-13 22:30 - 2021-06-13 22:30 - 000001265 _____ C:\Users\arval\Downloads\wuauserv (2).zip
2021-06-13 21:49 - 2021-06-13 21:49 - 000001265 _____ C:\Users\arval\Downloads\wuauserv (1).zip
2021-06-13 17:05 - 2021-06-13 17:17 - 000000000 ____D C:\ProgramData\AVG
2021-06-13 17:04 - 2021-06-13 17:04 - 000262712 _____ (AVG Technologies CZ, s.r.o.) C:\Users\arval\Downloads\avg_antivirus_free_setup.exe
2021-06-12 13:05 - 2021-06-12 13:06 - 000000000 ____D C:\Program Files (x86)\Combo Cleaner
2021-06-12 13:05 - 2021-06-12 13:05 - 003590288 _____ (RCS LT) C:\Users\arval\Downloads\CCSetup.exe
2021-06-12 13:05 - 2021-06-12 13:05 - 000000000 ____D C:\Users\arval\AppData\Local\RCS_LT
2021-05-25 14:04 - 2021-05-25 14:11 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2021-05-25 14:03 - 2021-05-25 14:03 - 000989584 _____ (GridinSoft LLC) C:\Users\arval\Downloads\install-antimalware-fix.exe

Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

Do tego co masz z tym pobieraniem, ze pobierasz to samo po 6 razy? Przestan tez instalowac te wszystkie zbedne programy!

Zakażenie powraca za każdym razem jak restartuje komputer, a restartowany jest za każdym razem jak wgrywam fixlistę. Ciągle skanuję z MBAM i usuwam infekcję. Stąd to się bierze. Swoją drogą przepraszam za "trudności" , informatyk ze mnie żaden. Kolejne logi:

Zamiesc log z Mbam, do tego log z TDSSKiller.

Log z TDSSKiller wkleiłem ręcznie do dokumentu tekstowego

Nie wykonales:
> Po wykonaniu odinstaluj Combo Cleaner.

Teraz i tak juz raczej za pozno.

Wykonaj taki Fixlist.txt:
CloseProcesses:
Task: {57F5E601-86EE-4ED8-A60E-4A7ED3655367} - System32\Tasks\Microsoft\Windows\BrokerInfrastructure\keepaliveproviBR274 => C:\WINDOWS\SysWOW64\rundll32.exe C:\Users\arval\AppData\Local\STARTE~1\LAYTUQ~1\HUTFU_~1.DLL EP0NHAutomanign_Jissfpces
C:\Users\arval\AppData\Local\STARTE~1\
2021-06-14 00:19 - 2021-06-14 00:30 - 000000000 ___HD C:\ProgramData\Vkmgrw
FilesInDirectory: C:\Users\arval\AppData\Local\*.exe;*.dll
FilesInDirectory: C:\Users\arval\AppData\Roaming\*.exe;*.dll

Fixlist zrobiłem, combo cleaner odinstalowałem. Chyba poskutkowało, nie pojawił się ten nieszczęsny folder, który za każdym razem infekował mi komputer

Zamiesc Fixlog.txt, ktory sie utworzyl.

Fixlog poniżej

Usun katalog C:\FRST i to wszystko.

Wielkie dzięki za wszystko, temat zamykam