Dzień dobry.
Proszę o pomoc z infekcją komputera. Malwarebytes usunął część infekcji lecz chyba coś jeszcze zostało.
http://www.wklejto.pl/610470
http://www.wklejto.pl/610472
http://www.wklejto.pl/610473
Kwarantanna:
https://drive.google.com/open?id=1_Tvfmr9iCtn2nRzpWpPpbL0M43jddtku
https://drive.google.com/open?id=1xsgNtCeHqEKsQ8o36Xz3HUrXJFGctCHG
Dadatkowo co jakiś czas Malwarebytes blokuje połączenia wychodzące
https://drive.google.com/open?id=1WT6iPdWRGbVrFK9A1pSoS8O9gJa9QqR1
Można by było coś usunąć, ale niestety po wklejeniu logów skasowało ukośniki.
Wklej te logi na inną stronę
Dopasowałem plik do logów i zrzutów ekranu.
Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Pawel\Downloads
fixlist.txt (2,7 KB)
Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
Po restarcie wklej plik wynikowy, będzie potrzebny.
Możesz samodzielnie usunąć katalog
C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\bbvcvejc
Jeśli system odzyskał sprawność, zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
W razie kolejnych kłopotów z komputerem, pisz 
Dziękuję bardzo za pomoc i poświęcony czas. Od razu po zainfekowaniu używałem programu AdvCleaner i Malwarebytes. Czy możliwe było wypłynięcie moich haseł zapisanych w przeglądarce google chrome w https://passwords.google.com oraz aplikacji LastPass? Zmieniłem wszystkie hasła od razu po wyczyszczeniu komputera Malwarebytes.
Dobrze postąpiłeś ze zmianą haseł.
Istnieje podejrzenie o możliwości “podglądania” wpisywanych haseł i nazw użytkownika oraz przesyłania ich na konkretny adres.
Miałeś Trojan.PasswordStealer
Inny to Trojan.Banker, który również można skojarzyć z wykradaniem.
Kolejna sprawa to IP z jednego ze screenów
Oto jego opis 5.8.88.59
Kieruje na http://emgoldexnet.com/ Saint Petersburg, Russian Federation
W związku z tym chciałbym “zajrzeć” do katalogów, które powstały jednocześnie z infekcją. Są nieaktywne.
Uruchom ten plik z FRST, bez restartu, wklej plik wynikowy
fixlist.txt (210 bajtów)
Od razu po tym jak komputer został zainfekowany użyłem Malwarebytes który usunął keyloggery. Nie logowałem się na żadne serwisy po infekcji i przed usunięciem plików przez Malwarebytes. Lecz zauważyłem już na mailu bardzo niepokojącą rzecz:
This email is to notify you of a successful login to your Poloniex account from an IP address not previously associated with this account.
Username/email:
IP Address: 87.213.54.101
IP Country: NLIf you do not recognize this login, you should freeze your account immediately and contact support.
Sincerely,
Katalogi są puste. Można je usunąć.
Oba adresy IP należą do dwóch różnych firm z terenu Holandii. Przypadek?
poloniex to firma zajmująca się kryptowalutami. Masz tam konto? Pewnie już masz 
Szybkie działanie Malwarebytes mogło odciąć dostęp do koparki.
Proponuję powtórne skanowanie Malwarebytes.
Wklej wynik jeśli coś znajdzie.
Konto na Poloniex miałem i to logowanie mnie mocno martwi. Oczywiście zmieniłem hasła do kont pocztowych oraz paypal itp. Zobaczymy co dalej się będzie działo. @iJuliusz jeszcze raz wielkie dzięki za pomoc i poświęcony czas. Człowiek stary ale jednak dalej głupi i czasami kliknie za dużo 
Sprawdź oczywiście, czy jakieś “ruchy” na rachunku były, o ile masz konto aktywne.
Pamiętaj, programy malware, trojany itp. zawsze będą szybsze od jakiejkolwiek reakcji ze strony użytkownika. Więc zalecam ostrożność w przeglądaniu internetu, a przede wszystkim przed otwieraniem plików niewiadomego pochodzenia. Zawsze możesz je najpierw wysłać do multiskanera.
Jak tam Malwarebytes? Znalazł coś jeszcze?
Malwarebytes nic nie znajduje.
Zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
W razie kolejnych kłopotów z komputerem, pisz