Zmulenie laptopa

[mcsoner]

Cześć!

Na wejściu chciałem podziękować, gdyż już miałem okazję prosić o pomoc na tym forum i ją uzyskałem. PIONA!

Wracając....
otóż od miesiąca mam postawiony nowy system i wszystko płynnie chodziło do momentu, aż zgrałem jednego torrent'a za dużo z jakimś syfem.
Nie wiem konkretnie jakim, ale od razu laptop zaczął strasznie "mulić" i dlatego proszę o pomoc.

logi:

OTL: http://www.wklej.eu/index.php?id=c119a5dd12
EXTRAS: http://www.wklej.eu/index.php?id=7ac4b49504

Pozdrawiam!

[mateo8898]

Wrzuć logi z FRST otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Ustawiałeś proxy w przeglądarce?

[mcsoner]

Jedyne co ustawiałem, zmieniałem w przeglądarce to strona powitalna

Logi:

FRST
frst: http://www.wklej.eu/index.php?id=5e038eb0dd

addition: http://www.wklej.eu/index.php?id=86127ede46

shortcut: http://www.wklej.eu/index.php?id=44fe2b4454

GMER

gmer: http://www.wklej.eu/index.php?id=904ba491d1

Czekam na dalsze wskazówki

[mateo8898]

1.Odinstaluj: PC_Booster, PC_Sustainer, pricecHop.
2. Wklej do notatnika:

Task: C:\Windows\Tasks\PC_Booster-S-493389286.job => c:\programdata\trusted publisher\pc_booster\PC_Booster.exe <==== ATTENTION
Task: C:\Windows\Tasks\WSE_Astromenda.job => C:\Users\Samsung\AppData\Roaming\WSE_AS~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
HKU\S-1-5-21-1764646856-2919567012-2249729535-1000\...\Run: [PeenyBee] => C:\Users\Samsung\AppData\Local\PennyBee\PennyBeeW.exe
C:\Users\Samsung\AppData\Local\PennyBee
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://astromenda.com/?f=1&a=ast_ir_14_34_ff&cd=2XzuyEtN2Y1L1Qzu0EzztAzy0D0F0DyByByEyCzy0ByDtBtCtN0D0Tzu0SzyyCtAtN1L2XzutAtFtDtFtCtDtFtAtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyEyEtDtAyBtC0E0AtGtDyEyE0CtGyB0F0B0BtGzzzz0DtBtGyC0A0DtCtA0BtDzztAtCzy0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0ByE0AyE0ByEyDtGzz0AyB0DtGyEzztA0CtGzztBtBtDtGtBtCtAyDtB0C0A0FtCtDyE0E2Q&cr=29572766&ir=
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_33_ff&cd=2XzuyEtN2Y1L1Qzu0EzztAzy0D0F0DyByByEyCzy0ByDtBtCtN0D0Tzu0SzyyDyBtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDzzyCyCyBtBtAtCtGyCyE0E0CtGtD0FzytAtGyDtDyDtBtGtBzztDyCzztCzyzz0EyByC0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0ByE0AyE0ByEyDtGzz0AyB0DtGyEzztA0CtGzztBtBtDtGtBtCtAyDtB0C0A0FtCtDyE0E2Q&cr=1515780790&ir=
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_33_ff&cd=2XzuyEtN2Y1L1Qzu0EzztAzy0D0F0DyByByEyCzy0ByDtBtCtN0D0Tzu0SzyyDyBtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDzzyCyCyBtBtAtCtGyCyE0E0CtGtD0FzytAtGyDtDyDtBtGtBzztDyCzztCzyzz0EyByC0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0ByE0AyE0ByEyDtGzz0AyB0DtGyEzztA0CtGzztBtBtDtGtBtCtAyDtB0C0A0FtCtDyE0E2Q&cr=1515780790&ir=
SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_34_ff&cd=2XzuyEtN2Y1L1Qzu0EzztAzy0D0F0DyByByEyCzy0ByDtBtCtN0D0Tzu0SzyyCtAtN1L2XzutAtFtDtFtCtDtFtAtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyEyEtDtAyBtC0E0AtGtDyEyE0CtGyB0F0B0BtGzzzz0DtBtGyC0A0DtCtA0BtDzztAtCzy0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0ByE0AyE0ByEyDtGzz0AyB0DtGyEzztA0CtGzztBtBtDtGtBtCtAyDtB0C0A0FtCtDyE0E2Q&cr=29572766&ir=
SearchScopes: HKCU - {E64C30FB-4C8B-4862-8260-0532921DBC58} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_33_ff&cd=2XzuyEtN2Y1L1Qzu0EzztAzy0D0F0DyByByEyCzy0ByDtBtCtN0D0Tzu0SzyyDyCtN1L2XzutAtFtDtFtCtDtFtAtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByBtD0EtC0DzzyCtGyDyDyCyBtGtBtBtByDtG0CtByBzztGyB0D0EzztDzy0A0BzyyB0DtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0ByE0AyE0ByEyDtGzz0AyB0DtGyEzztA0CtGzztBtBtDtGtBtCtAyDtB0C0A0FtCtDyE0E2Q&cr=996614763&ir=
FF SearchPlugin: C:\Users\Samsung\AppData\Roaming\Mozilla\Firefox\Profiles\g3blov3l.default\searchplugins\Astromenda.xml
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
FF Extension: PRicecchop - C:\Users\Samsung\AppData\Roaming\Mozilla\Firefox\Profiles\g3blov3l.default\Extensions\[email protected] [2014-08-30]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
2014-08-30 15:22 - 2014-08-30 17:04 - 00000000 ____D () C:\ProgramData\pricecHop
2014-08-30 15:22 - 2014-08-30 17:03 - 00000000 ____D () C:\Program Files\pricecHop
2014-08-30 15:22 - 2014-08-30 15:28 - 00000000 ____D () C:\Program Files\PC_Booster
Task: {9B99A8E8-73EC-480A-AB3B-515DADF13D5E} - System32\Tasks\WSE_Astromenda => C:\Users\Samsung\AppData\Roaming\WSE_AS~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
3. Użyj AdwCleaner -> http://forum.instalki.pl/otl-gmer-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.
4. Podaj nowe logi z FRST.

Kolejność jak podałem.

[mcsoner]

OK, trochę namieszałem.
Mianowicie nie zauważyłem punktu pierwszego i zrobiłem pierw punkt drugi, a dopiero wtedy pierwszy.
I odpaliłem 2x fix w FRST, bo wydawało mi się, że zapisałem plik "fixlist.txt" jako "fixlog.txt" i że się podpisał, a się okazało, że on po prostu zniknął

Nie wiem jak to coś zaważy na końcowym efekcie, ale łap logi

FRST : http://www.wklej.eu/index.php?id=db012b3ef1
AdwCleaner : http://www.wklej.eu/index.php?id=f8b40a9619

Dzięki wielkie, bez was bym pewnie za 2 tygodnie czekał 30 min na odpalenie lapka

Pozdro i czekam!

[mateo8898]

W AdwCleaner Odinstaluj

Podaj jeszcze nowe logi z FRST.

[mcsoner]

Odinstalowane.

a tutaj logi:

Addition: http://www.wklej.eu/index.php?id=b0c10841e8

Shortcut: http://www.wklej.eu/index.php?id=8476c7006b

FRST: http://www.wklej.eu/index.php?id=8620b62f08

[mateo8898]

Wklej do notatnika:

Task: {37D6371D-3D36-4181-A2CC-2F53F02D2035} - System32\Tasks\PC_Booster-S-493389286 => c:\programdata\trusted publisher\pc_booster\PC_Booster.exe <==== ATTENTION

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[mcsoner]

uff..zrobione

Logi:

Fixlog: http://www.wklej.eu/index.php?id=3c69c23427

FRST: http://www.wklej.eu/index.php?id=acedd54c71

Addition: http://www.wklej.eu/index.php?id=985a582a1d

Shortcut: http://www.wklej.eu/index.php?id=84c6e771f6

Jeszcze pytanko. Czy był to jakiś keylogger, czy coś takiego i mogę się obawiać o hasła na kontach internetowych z których korzystałem w tym czasie ?

Pozdro!

[mateo8898]

Usuń folder C:\FRST

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Zainstaluj http://www.instalki.pl/programy/downloa ... hecky.html

Czy był to jakiś keylogger, czy coś takiego i mogę się obawiać o hasła na kontach internetowych z których korzystałem w tym czasie ?

To nie był keylogger tylko syfy typu adware.

[mcsoner]

Dzięki , pochwalam.

[mcsoner]

Sorry jeszcze raz, ale zresetowałem przed chwilą lapka i dalej się dość długo odpala.

Co mogę wysłać, by można sprawdzić co się dzieje ?