Posypanie się kilku programów po otwarciu złośliwego załącznika

[PierreNik]

Użytkownik komputera niestety otworzył podejrzany załącznik z rozszerzeniem .html, gdyż atakujący podszył się dość dobrze pod jego znajomego. Załącznik otwierał stronę z jakimś hashem, a następnie strona ta przekierowywała na stronę być może wywołującą jakąś transakcję bitcoin? Przy czym użytkownik tego komputera nie miał nigdy żadnego portfela kryptowalut. Niestety od tego czasu kilka programów się posypało, m.in. chrome, ale także kilka programów, które startują wraz z systemem. Antywirus Total 360 nie znajduje żadnego zagrożenia. Nie znajdował go również w tym pliku .html, więc możliwe, że problemy z "posypaniem się" wywołała "naprawa" błędów przez Total 360 robiona przy okazji skanu całego dysku.

Po kliknięciu na skrót do Chrome otwiera się błąd o treści:
 

chrome.exe - Błąd aplikacji

Aplikacja nie została właściwie uruchomiona (0xc0000034)
Kliknij przycisk OK, aby zakończyć aplikację.

 

Byłbym wdzięczny za przeniesienie tego wątku do pomocy doraźnej, pomyłka.

 

FRST.txt Addition.txt Shortcut.txt

[jessica]

Nie widzę tu żadnej infekcji.

 

Cytat

 

==================== Punkty Przywracania systemu =========================

14-01-2022 10:33:04 Instalator modułów systemu Windows
21-01-2022 15:29:19 Zaplanowany punkt kontrolny
31-01-2022 13:02:48 Zaplanowany punkt kontrolny

 

Zrób zwykłe "Przywracanie Systemu" do punktu przywracania 14-01-2022.

 

Jeśli to nie pomoże, to dodatkowo:

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

Spoiler

START::
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.com\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scr\UserChoice =>
HKU\FileCache\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice =>
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[PierreNik]

Dziękuję bardzo za informację, że nie ma tu infekcji :)

Uruchomiłem przywracanie systemu, ale niestety trwa to już 2 godziny na "Trwa przywracanie rejestru".
Obawiam się, że ten ekran będzie w nieskończoność, ale jeszcze trochę godzin poczekam...

OK, doczekałem się.
Backup trochę poprawił, przede wszystkim na starcie systemu nie pojawiają się błędy o różnych programach, które nie mogły się włączyć. Jednak, gdy klikam Chrome to błędu również nie ma.... ale nie dzieje się dosłownie nic, nie otwiera się okienko, nie uruchamia się żaden proces, ani drgnie. Czyli problem jest z samym Chromem. Opera jak działała tak działa.

Zrobiłem tak jak wskazałaś, ale niestety coś robię nie-tak. Próbowałem 3x i nie poszło (Fixlog.txt). Włączałem FRST64 jako admin, dezaktywowałem antywirusa, ale to nic nie dało,

Fixlog.txt

[jessica]

U mnie w ogóle nie ma takich kluczy w Rejestrze, więc nie mam nawet do czego porównać.

Ale skoro większość programów działa normalnie, to te klucze chyba nie mają wpływu na problem.

 

Chrome - zmień rozszerzenie z *.exe na *.com.

Spróbuj, czy Chrome działa?

Jeśli nie działa, to przeinstaluj Chrome.

 

jessi

[PierreNik]

Dziękuję pięknie, pomogło nadinstalowanie Chrome ?