dll-propagation , .dllbackups - infekcja ?

[bartekj001]

Witam, poszukując plików do usunięcia/zwolnienia miejsca na partycji systemowej natrafiłem na ukryty folder .dllbackups o rozmiarze 8,47GB , zaciekawiony nazwą znalazłem wpisy w internecie, że może to być koparka dll-propagation - w tym folderze trafiłem na kilka plików torrent o nazwach których wątpię bym kiedykolwiek pobierał. Część z nich jak najbardziej, kiedyś kilka lat temu kojarzę, że pobierałem, ale ponad połowy nazw nie kojarzę.

 

Pierwszy log z Malwarebytes jest opisany jako 0108 ponieważ program sam rozpoczął skan zaraz po instalacji i wrzucił do kwarantanny kilka plików.

Drugi sam uruchomiłem tylko na C

Po drugim przeskanowaniu tylko dysku systemowego nie znalazł niepokojących rzeczy poza jednym wpisem :

Cytat

Neshta.Virus.FileInfector.DDS, C:\USERS\BBB\APPDATA\ROAMING\.DLLBACKUPS\DATA\MODULES\DLL-HOST\DOWNLOADS\XMRIG-CPU\XMRIG.EXE, Dodano do kwarantanny, 1000002, 0, 1.0.73413, D72E46FF5F023158E987BEFF, dds, 02412741, 7FAB026C274F36938CDE8DD5F97470F7, ED509B21977DE14F09BA254B3BB86E36394B288748526FBAE88A48EC67DD4B9E

 

Ogólnie mam kilka dysków. Przeskanowałem je za pomocą Malwarebytes i na innych dyskach znalazł różne rzeczy, ale z reguły jakieś stare cracki i inne tego typu nieznaczące w tym przypadku pliki.

 

Załączam logi Malwarebytes oraz FRST  i proszę o podpowiedź, czy to rzeczywiście może być ten wirus czy po prostu zbieżność nazw w plikach ? Może to po prostu standardowy folder uTorrent ? Jeśli tak, to przepraszam za kłopot ;)

 

Komputer pracuje prawidłowo, w procesach nie znalazłem nic niepokojącego, nie ma żadnych procesów ponad normę obciążających.

FRST.txt Addition.txt Shortcut.txt c pelne rap.txt 0108 raport z automatu.txt

[jessica]

W logach nie widzę niczego podejrzanego.

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
HKU\S-1-5-21-4012032049-3254648878-3231189217-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-18\...\Run: [Synapse3] => C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (Brak pliku)
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {C650268D-4D89-418D-842A-6A34898922AA} - System32\Tasks\razer => "C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe"  (Brak pliku)
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\115.1.56.20\elevation_service.exe" [X]
S3 Rockstar Service; "O:\RockstarService.exe" [X]
R3 ALSysIO; C:\Users\BBB\AppData\Local\Temp\ALSysIO64.sys [47240 2023-08-04] (ALCPU (Arthur Liberman) -> Arthur Liberman) <==== UWAGA
FirewallRules: [{2DFD5D40-2C4C-406D-BB6F-ECED7133F404}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Brak pliku
FirewallRules: [{633D30CD-6D53-442A-A766-9D927C5157E4}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Brak pliku
RemoveDirectory: C:\Users\BBB\Downloads\FRST-OlderVersion
EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[bartekj001]

Z jednej strony bardzo Ci dziękuję za sprawdzenie.

 

Z drugiej strony... Proszę, nie wolno robić takich rzeczy... ;/ Przyznaję się, z programu FRST korzystałem bardzo mało razy i nie zgłębiałem zasad jego działania. Faktem jest, że po wykonaniu Twojej instrukcji "zabił" mi przeglądarki, a następnie zaczął obciążać wielokrotnie procesor i wyczyścił pliki tymczasowe systemu !  Wyczyścił mi pliki tymczasowe Firefox co spowodowało usunięcie wszystkiego. Cała moja historia, wszystkie ustawienia, wszystkie zalogowania zostały stracone ! ;(  Nie mogę sobie na to pozwolić.  W jaki sposób mam odzyskać teraz wszystkie ustawienia profilowe Firefoxa ? Lata zbierania i magazynowania zostały zaprzepaszczone...

 

Mam co prawda kopię zapasową całego dysku sprzed około 6 miesięcy, ale wszystko co przez ten czas jest też bardzo ważne.

 

Na prawdę jestem wdzięczny za pomoc, ale proszę o drugą. Jak odzyskać te dane ?

Fixlog.txt

[jessica]

Cytat

 

EmptyTemp:

Opróżnia następujące katalogi:

...

Pamięci podręczne (Cache), magazyny HTML5, Ciasteczka (Cookies) i Historia przeglądarek skanowanych przez FRST z wyjątkiem klonów Firefox

 

.FRST - Tutorial obsługi Farbar Recovery Scan Tool - Tutoriale | Artykuły | Recenzje - Fixitpc.pl

 

Cytat

Dyrektywa EmptyTemp: usuwa obiekty permanentnie. Nie są one przesuwane do kwarantanny.

Nie ma możliwości przywrócenia.

 

Możesz spróbować przynajmniej częściowo odzyskać korzystając ze zwykłego Przywracania Systemu.

Niestety ostatni punkt przywracania masz z grudnia ubiegłego roku.

Cytat

 

==================== Punkty Przywracania systemu =========================

08-12-2022 17:30:50 Zaplanowany punkt kontrolny
11-12-2022 13:56:48 Instalator modułów systemu Windows
15-12-2022 14:01:25 Instalator modułów systemu Windows

 

 

 

jessi

[bartekj001]

Z tego co wiem, punkt przywracania nie przywraca plików tymczasowych.

 

Od rana już poleciałem do sklepu kupić kolejny dysk, żeby sklonować obecny i będę musiał teraz poświęcić mnóstwo czasu na żmudną analizę plików i odzyskiwanie.

 

Nie wiem po co to usuwać... W jakimś celu to się tam znajduje 🙄

 

Następnym razem warto może ostrzec lub wytłumaczyć co dana poprawka ma zamiar zrobić. Niektórym komputer służy do pracy, a nie rozrywki.

 

Jaki program polecacie do odzysku danych ?

Czy ma ktoś wiedzę jak wygląda drzewko katalogów Firefox, które muszę przywrócić, żeby odzyskać aktywne sesje, ciasteczka i historię przeglądarki ?

 

Już Brave czy chrome jestem w stanie przeboleć, ale Firefox muszę odzyskać

[jessica]

Cytat

Z tego co wiem, punkt przywracania nie przywraca plików tymczasowych.

Z tego, co ja wiem, to Przywracanie przywraca np. infekcje znajdujące się w folderach tymczasowych, więc, na mój rozum, powinno też przywrócić też potrzebne Ci "rzeczy".

Inna sprawa, że na pewni nie przywróci "rzeczy" z okresu po 15 grudnia, bo ich wtedy jeszcze nie było.

 

jessi