Prośba o sprawdzenie logów FRST

[werka8080]

Witam,
Ostatnio mój komputer dziwnie się zachowuje. Po wykonaniu zaleceń z FRST otrzymałam :
FRST.txt wklej.org/id/1777024/
Addition.txt wklej.org/id/1777032/
ADWCleaner wklej.org/id/1777039/
MBAM wykrył 2x PUP (OpenCandy), co oczywiście usunął, ale obawiam się, że to nie wszystko...
Bardzo proszę o pomoc, ponieważ nie chciałabym formatować czy też przywracać systemu.

[Gość: Kolobos]

> Ostatnio mój komputer dziwnie się zachowuje

Co sie dokladnie dzieje?



Obok frst.exe utworz plik fixlist.txt z zawartoscia:
Task: {3C6C049C-595E-44B2-8078-F0B811449B2A} - System32\Tasks\{C173882F-7BC3-4420-911B-E23762356C62} => pcalua.exe -a "C:\Users\weron_000\AppData\Roaming\0F1F1C2Y1H1P1C0I0T\Winamp Packages\uninstaller.exe" -c /Uninstall /NM="Winamp Packages" /AN="0F1F1C2Y1H1P1C0I0T" /MBN="Winamp Packages"
Task: {BC042CD1-B7F1-44FE-9475-B82080AB1683} - System32\Tasks\{95A3B22D-CD7F-4EEE-809B-A77B44CBF8CF} => pcalua.exe -a C:\Users\weron_000\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=cvs <==== ATTENTION
HKU\S-1-5-21-220557877-3064157719-1278378323-1002\...\RunOnce: [Uninstall C:\Users\weron_000\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\weron_000\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811\amd64"
HKU\S-1-5-21-220557877-3064157719-1278378323-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.pandion.im/#q=%s
SearchScopes: HKU\S-1-5-21-220557877-3064157719-1278378323-1002 -> Google Powered Pandion Search URL = hxxp://search.pandion.im/#q=%s
FF HKU\S-1-5-21-220557877-3064157719-1278378323-1002\...\Firefox\Extensions: [{536ad1d6-d9d9-41e5-8945-864506a1f2fc}] - C:\Users\weron_000\AppData\Local\Pandion\Application\src\..\search\xpi
S3 efavdrv; \??\C:\WINDOWS\system32\drivers\efavdrv.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X]
2015-08-18 19:31 - 2015-08-18 19:31 - 00004206 _____ C:\AdwCleaner[C5].txt
2015-08-18 19:30 - 2015-08-18 19:30 - 00004011 _____ C:\AdwCleaner[S5].txt
2015-08-18 18:46 - 2015-08-18 18:48 - 00000000 ____D C:\AdwCleaner
2015-08-18 18:37 - 2015-08-18 18:37 - 00000000 ____D C:\TDSSKiller_Quarantine
EmptyTemp:

W FRST wybierz Fix.

Usun katalog C:\FRST.

[werka8080]

Logi po fixie: wklej.org/id/1777842/, aditional równieżhwklej.org/id/1777843/. MBAM ponownie odnalazł 2 pliki (PUP- Optional Open Candy), jeden to .dll, a 2-gi to .zip.(poprzednio zaostały one usunięte(

Jeśli chodzi o sam komputer to nie moge funkcją "Dodaj/Usuń Programy " odinstalować programu "UTorrent", po wybraniu opcji Odinstaluj zamiat instalatora uruchamia się dam program.
Podczas przeglądania stron internetowych przestała działać klawiatura, jak się okazało nie zadziałała ani jedna z 3 (korzystam z klawiatury podpiętej przez USB) wbudowana i ekranowa też nie działały, ale sytuacja miała miejsce tylko w chromie. Po zminimalizowaniu chroma klawiatura działała normalnie.Po restarcie komputera wszystko wróciło do normy i jak narazie się to nie powtórzyło

[Gość: Kolobos]

> MBAM ponownie odnalazł 2 pliki (PUP-Optional Open Candy), jeden to .dll, a 2-gi to .zip

Podaj lokalizacje i nazwy plikow.

> nie moge funkcją "Dodaj/Usuń Programy " odinstalować programu "UTorrent"

Zainstaluj ponownie i sprobuj jeszcze raz, albo zostaw jak jest. W niczym to nie przeszkadza. Gdyby bardzo Ci to przeszkadzalo to mozna usunac recznie katalog programu.

> Po restarcie komputera wszystko wróciło do normy i jak narazie się to nie powtórzyło

Skoro wystapilo to tylko raz to nie ma sensu sie przejmowac. Zapewne cos sie wykrzaczylo.

[werka8080]

Info z historii MBAM:

A) skan po utworzeniu ostatnich logów FRST:
- C:\\Users\weron_0000\AppData\Local\Temp\HYD650F.tmp.1439985845\HTA\3rdparty\OCSetupHlp.dll
- C:\\Users\weron_0000\AppData\Local\Temp\HYD650F.tmp.1439985845\HTA\install.1439985845.zip

B) Skan MBAM zaraz po utworzeniu pierwszych wklejanych tu logów FRST:
- C:\\Users\weron_0000\AppData\Local\Temp\HYDCB2C.tmp.1439920120\HTA\3rdparty\OCSetupHlp.dll
- C:\\Users\weron_0000\AppData\Local\Temp\HYDCB2C.tmp.1439920120\HTA\install.1439920120.zip

Mam jeszcze takie pytania dodatkowe...:
1) Czy jest jakikolwiek program który jest w stanie odnaleźć pozostałości np.:po wirusach które mają opcję auto delete? Czy jesteś to w stanie zweryfikować z logów FRST? (to tak dla pewności, że na tym laptopie nie było nic w stylu keylogerów itp.)
2) Na 2 laptopie (zakupiony z zainstalowanym Win 8) właściciel zrobił format i zainstalował pirackiego Win 7 (jak podejrzewamy sam pendrive z instalką Win 7 był już z wirusami). Do tego jeszcze aktualizacja BIOS-u (ASUS R700VJ wersja 234) jest "uszkodzona" -do czego przyznał się oficjalnie producent-, nie ma mozliwości przywrócenia poprzedniej wersji (po odpaleniu biosu na pasku na dole ekranu pojawia się XX.X.XX.XX zamiast wersji), a do tego po ostatnim crashu laptopa "samo" pojawiło się hasło Biosu przez co nie jesteśmy w stanie go uruchomić. ( wcześniej na tym laptopie program GMER znalazł : WIN32:MB Rootcode @ sector 61- więc na pewno coś z nim jest nie tak )
-Czy orientujesz się może jak obejść to hasło na laptopie ? I co tak naprawdę można z tym zrobić żeby go "odpalić" Czy w tym przypadku szukać pomocy w innych tematach?

[Gość: Kolobos]

Te pliki w temp tworza sie przy instalacji jakiegos programu instalujacego przy okazji "opcjonalne" oprogramowanie (szkodliwe). Jednak nie ma sie czym przejmowac, program nie byl aktywny i znajduje sie w temp.

> 1)
Jezeli cos zostalo usuniete to nie dziala i nie ma czego wykrywac. W logach nie widac takiego. Jak chcesz to mozesz dac log z Mbar oraz Tdsskiller.

> 2)
Raczej ciezko jest znalezc zainfekowany obraz systemu, wiec to mozna raczej wykluczyc.
Te xy zamiast wersji nie maja znaczenia.
Co do gmera to moze wyswietlac rozne rzeczy, nie oznacza to jednak, ze komputer jest lub byl zainfekowany.
Jaki haslo jest ustawione? Power on password, Supervisor password? Da sie wejsc do biosu czy tez nie?

[werka8080]

>1) MBAM - wklej.org/id/1780021/
TDSS - wklej.org/id/1780033/

>2) Po uruchomieniu laptopa od razu pojawia się "Enter Password", więc zakładam, że to power on password (aktualnie nie powinno być żadnego hasła). Bez wpisania hasła nie ma dostępu do biosu.

[kolobos]

1. Mbar, a nie mbam. O ten: www.malwarebytes.org/antirootkit/

2. Mozna sprobowac zresetowac CMOS, to powinno usunac haslo uzytkownika (power on password), ale wiaze sie to z rozkreceniem laptopa. Do tego nie ma pewnosci, ze haslo sie usunie. Jezeli laptop jest legalnie kupiony z dokumentami zakupu to zglos sie do asusa i zapytaj jak moga Ci z tym pomoc.

[werka8080]

1) Przy instalacji wyskoczyło okno:
"Probable rootkit activity detected"
Registry value "AppInit_Dlls" has been found, which may be caused by rootkit activity.

Note: Press "No" button if you're not sure. If the tool crashes or terminates unexpectedly during a system scan, restart the tool and press "Yes" should this message apper again.

Do you want to remove this value and restart the tool?

usuwać czy nie ? i co to może spowodować ?

2)Dzwoniłam już dziś do Asusa. Mam im przesłać mailem dokument zakupu, zdjęcie naklejki z lapka, datę Biosu i zdjecie karty gwarancyjnej (mimo że gwarancja już się skończyła :)) , wtedy dostanę "rescue code".

[kolobos]

1. Nie usuwaj. To nie infekcja.

[werka8080]

Nic nie znalazł - wklej.org/id/1781404/
Wiesz może po czym są te foldery (ukryte w AppData) -> np.:EmieBrowserModeList?

[kolobos]

To katalogi systemowe.