Wolna praca komputera, hasło poczty WP

[paczeko]

Witam.

 

Mam następujące objawy: spowolnienie pracy komputera, od czasu do czasu sam się wyłącza, a w trakcie logowania do konta na WP jednego z użytkowników komputera wyskakuje okno o możliwym przejęciu konta i prośba o zmianę hasła (dodatkowo na tym koncie wcześniej zaobserwowano emaile od MAILER-DAEMON wg których wysyłano e-maile na jakieś konta pocztowe z końcówką ".ru" - brak w "Wysłanych" a użytkownik nic nie wysyłał).

 

Komputer to stary laptop z intel core 2 DUO CPU P7350 2,99 GB Ram i słabą kartą grafiki. Platforma Vista HPremium SP2

 

Komputer jest podłączony do internetu sieci hotelu pracowniczego.

 

Co ciekawe (chociaż może bez znaczenia) pojawienie mailer-daemon na poczcie zbiega się z wprowadzeniem się nowych mieszkańców do pokoju obok z Rosji którzy to mieszkańcy również podłączeni są do sieci hotelowej  :)) Chociaż może jestem przewrażliwiony i jest to wina użytkownika laptopa ;). 

 

Zastosowałem też poradę z https://www.forumweb.pl/tematy-ogolne/niepozadanie-dzialania-na-poczcie-wp-czy-to-wirus,92924 czyli cmd.exe  i komendę netstat -ano i są tam w kolumnie "OBCY ADRES" także inne niż same zera - ale nic dalej nie robiłem, zostawiłem jak jest.

 

Załączam pliki FRST.

 

 

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {B435BA29-5D15-420A-9370-C103A594B3D2} - System32\Tasks\{73971559-478B-BB3A-4801-787C6D0755CC}\SyncTask => C:\Users\PAWEŁ\AppData\Local\Lusituposuh\SyncTask.exe () [Brak podpisu cyfrowego] <==== UWAGA
RemoveDirectory: C:\Users\PAWEŁ\AppData\Local\Lusituposuh
RemoveDirectory: C:\Users\PAWEŁ\AppData\Local\chromium
C:\Users\PAWEŁ\AppData\Roaming\skype.ini
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Task: {2DA993BF-C6C7-4751-8EC4-030B7A5ACFCA} - System32\Tasks\{E7C4D478-CED6-405F-9F96-FF1792988BF1} => C:\Windows\system32\pcalua.exe -a "D:\GRA\CLASH\clash\clash pl\WINSETUP.EXE" -d "D:\GRA\CLASH\clash\clash pl"
Task: {3406808A-F02C-40D6-863A-2C955BA9B27C} - System32\Tasks\{8DDCCD65-9174-40A8-B2ED-E3A831FDD2FD} => C:\Windows\system32\pcalua.exe -a "D:\GRA\gryjuz\GRY I DODATKI\clash\Clash\CLASH\SETUP.PIF" -d "D:\GRA\gryjuz\GRY I DODATKI\clash\Clash\CLASH"
Task: {34DAA723-1C30-4E7F-8C76-623CAB2CC89F} - System32\Tasks\{17E54D04-346F-4C6A-8EAF-B60FD897CA17} => C:\Windows\system32\pcalua.exe -a "D:\GRA\CLASH\clash\clash pl\SETUP.EXE" -d "D:\GRA\CLASH\clash\clash pl"
Task: {3B009138-9580-4F4E-A9DA-AB573DCF4896} - System32\Tasks\{C3F2D834-64F2-411D-8F7C-D340D15D831F} => C:\Windows\system32\pcalua.exe -a C:\Windows\system32\bdeadmin.cpl -c BDE Administrator
Task: {42682936-DC2D-4A1E-9E65-2AE0AB95708D} - System32\Tasks\{6A9D5CD4-8CB6-4FFE-B659-60B40DA810F1} => C:\Windows\system32\pcalua.exe -a "D:\GRA\gryjuz\GRY I DODATKI\clash\Clash\SETUP.EXE" -d "D:\GRA\gryjuz\GRY I DODATKI\clash\Clash"
Task: {5878E97D-6F96-4093-A7F4-75627775FFCA} - System32\Tasks\{E681453E-27EB-42DA-9D21-33384CD0A08B} => C:\Windows\system32\pcalua.exe -a "D:\Nowy folder\GRY I DODATKI\clash\Clash\CLASH\SETUP.EXE" -d "D:\Nowy folder\GRY I DODATKI\clash\Clash\CLASH"
Task: {5AEE5F0C-06B1-4C66-8FBA-CEDC3699741C} - System32\Tasks\{DDBB2CFF-560F-4288-AA92-84399F88A3AB} => C:\Windows\system32\pcalua.exe -a C:\Clash\CLASH\SETUP.EXE -d C:\Clash\CLASH
Task: {5CF2B985-2167-405F-8C98-379FC4215026} - System32\Tasks\{F383A540-81AF-4CCD-9D59-A83A7804689F} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Downloads\ST330_vista\st330v4103\setup.exe -d C:\Users\PAWEŁ\Downloads\ST330_vista\st330v4103
Task: {5DAE85D7-6CA6-46A2-8AC4-6D34257CB626} - System32\Tasks\{5BA4F6BE-0DA0-4BE0-BCFB-4D284AEA6E76} => C:\Windows\system32\pcalua.exe -a C:\devcon.exe -d C:\Users\PAWEŁ -c remove *6to4
Task: {6271058B-9CB3-4C05-9AAE-5B319671F369} - System32\Tasks\{2679778A-8741-40B7-ADE9-4D117C63ED72} => C:\Windows\system32\pcalua.exe -a "C:\Users\PAWE~1\AppData\Local\Temp\Temporary Internet Files\Content.IE5\OFJP9BMX\uninstall_flash_player[1].exe" -d C:\Windows\system32 <==== UWAGA
Task: {63CA36BF-1102-414A-A3BC-2754284496B7} - System32\Tasks\{7A5DFB9F-0C29-4D45-86EA-F41EE64F23CA} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Desktop\irfanview_plugins_433_setup.exe -d C:\Users\PAWEŁ\Desktop
Task: {7BBE27EC-B3FD-4B57-BA87-85A43E4FCF79} - System32\Tasks\{2A6152BF-F6B6-4EED-A0FE-0FC207E1A913} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Downloads\AF2\INSTALL.EXE -d C:\Users\PAWEŁ\Downloads\AF2
Task: {88FDAA4B-36C8-47A4-88FD-17E8AC6DA065} - System32\Tasks\{562AF19A-99F0-43C8-96AE-529CCF40B0E9} => C:\Windows\system32\pcalua.exe -a C:\Downloads\Software\ca_setup.exe -d C:\Downloads\Software
Task: {95B09B5B-0FBA-438F-95DC-9CD8C22924ED} - System32\Tasks\{F855E8C8-70F6-4403-B4DA-17C039B58A0C} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Desktop\hddinsp.exe -d C:\Users\PAWEŁ\Desktop
Task: {9ADE9291-8343-4E34-A872-E848C1FBE828} - System32\Tasks\{D519E24F-DD98-4C09-B667-6AA50044E0B5} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Desktop\Testy_B.exe -d C:\Users\PAWEŁ\Desktop
Task: {A57AB54D-3380-4B8D-91BB-75FC7DBB6A66} - System32\Tasks\{B92E00C6-A81A-4089-AB9B-81E7247CABF2} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\isvmsetup.exe" -d "C:\Program Files\Vimicro Corporation\VMC302\DriverBackup"
Task: {BA353794-D496-4163-8902-DBC4FD03BA3B} - System32\Tasks\{37D887E7-840D-4A52-8630-A34B83717678} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Downloads\daemon4301-lite.exe -d C:\Users\PAWEŁ\Downloads
Task: {BFD53E1F-B484-427D-AA87-B0719B6EC453} - System32\Tasks\{31586160-F306-43AA-A02E-B76247282EBE} => C:\Windows\system32\pcalua.exe -a C:\Downloads\Software\Alcohol120_trial_1.9.8.7612.exe -d C:\Downloads\Software
Task: {DB6430E5-0F02-446A-8F48-35A31775FE94} - System32\Tasks\{D40370C1-94D3-4F67-82E0-228D9ECEA4D0} => C:\Windows\system32\pcalua.exe -a D:\GRA\CLASH\clash\clashpl\CLASH\SETUP.EXE -d D:\GRA\CLASH\clash\clashpl\CLASH
Task: {DE5311C3-4FD1-4277-B45F-CD785D690E18} - System32\Tasks\{4CCD8715-ABD0-43E6-8E8D-C248FFD5BC3B} => C:\Windows\system32\pcalua.exe -a C:\Users\PAWEŁ\Downloads\USB\kokolokwwialy.exe -d C:\Users\PAWEŁ\Downloads\USB
Task: {E552308C-9AFD-4771-97E2-262ADB339E2C} - System32\Tasks\{BE63FD8B-77F7-4830-9ADD-BA607E9B4ADD} => C:\Windows\system32\pcalua.exe -a "C:\Users\PAWEŁ\Downloads\Kurs Excel XP-2003 cz.1 i 2\autorun.exe" -d "C:\Users\PAWEŁ\Downloads\Kurs Excel XP-2003 cz.1 i 2"
FirewallRules: [TCP Query User{90451BBB-3DA7-4C4D-94A4-FD4BD3D85A58}C:\program files\tlen.pl\tlen.exe] => (Block) C:\program files\tlen.pl\tlen.exe Brak pliku
FirewallRules: [UDP Query User{802A4E14-ABA2-4365-9A9C-09B6F9D3B269}C:\program files\tlen.pl\tlen.exe] => (Block) C:\program files\tlen.pl\tlen.exe Brak pliku
FirewallRules: [TCP Query User{802F2AC9-9C7B-4D5B-832D-59BCCC25742A}C:\program files\microsoft office\office12\winword.exe] => (Allow) C:\program files\microsoft office\office12\winword.exe Brak pliku
FirewallRules: [UDP Query User{9C4FA763-EE68-421E-A490-7B16040FCBCE}C:\program files\microsoft office\office12\winword.exe] => (Allow) C:\program files\microsoft office\office12\winword.exe Brak pliku
FirewallRules: [TCP Query User{B376DF44-A24C-4EE4-A8A6-C0FCDEEB0E44}C:\program files\java\jre6\bin\java.exe] => (Block) C:\program files\java\jre6\bin\java.exe Brak pliku
FirewallRules: [UDP Query User{026FC8DB-6021-4BF6-BF18-A3A192C7B373}C:\program files\java\jre6\bin\java.exe] => (Block) C:\program files\java\jre6\bin\java.exe Brak pliku
FirewallRules: [TCP Query User{4D2FD9F2-1C63-4AC5-A64A-DE7CCA0A9010}C:\program files\konnekt\konnekt.exe] => (Block) C:\program files\konnekt\konnekt.exe Brak pliku
FirewallRules: [UDP Query User{18C90036-8F9F-4DBD-B377-0704553EAEAB}C:\program files\konnekt\konnekt.exe] => (Block) C:\program files\konnekt\konnekt.exe Brak pliku
FirewallRules: [TCP Query User{985E7FB3-089A-4F14-9028-7D301EC81616}D:\konekt na d\konnekt.exe] => (Allow) D:\konekt na d\konnekt.exe Brak pliku
FirewallRules: [UDP Query User{74FFA1AE-8ADE-4E92-84F2-884FB3A4EE3B}D:\konekt na d\konnekt.exe] => (Allow) D:\konekt na d\konnekt.exe Brak pliku
FirewallRules: [TCP Query User{E5CF8C50-FC70-445D-A210-6CFF53E321CF}C:\alien arena 7_31\crx.exe] => (Block) C:\alien arena 7_31\crx.exe Brak pliku
FirewallRules: [UDP Query User{FC90274B-852B-4BD5-982E-DBEDC9A28A53}C:\alien arena 7_31\crx.exe] => (Block) C:\alien arena 7_31\crx.exe Brak pliku
FirewallRules: [TCP Query User{F6E97CAA-BC23-4823-8AFD-41D5C621A8B7}C:\downloads\arcavirmicroscan\avms.exe] => (Block) C:\downloads\arcavirmicroscan\avms.exe Brak pliku
FirewallRules: [UDP Query User{45F1EA1A-7C62-4584-BAAA-9C84806CB636}C:\downloads\arcavirmicroscan\avms.exe] => (Block) C:\downloads\arcavirmicroscan\avms.exe Brak pliku
FirewallRules: [TCP Query User{58B83601-1238-43C4-9F25-6A2864895AD3}C:\program files\java\jre7\bin\java.exe] => (Block) C:\program files\java\jre7\bin\java.exe Brak pliku
FirewallRules: [UDP Query User{157045F8-3190-4019-96BC-287BD1760B6E}C:\program files\java\jre7\bin\java.exe] => (Block) C:\program files\java\jre7\bin\java.exe Brak pliku
FirewallRules: [TCP Query User{944A9D41-DE7E-48A2-9E2B-CBA5DD90A868}C:\games\world_of_tanks\wotlauncher.exe] => (Allow) C:\games\world_of_tanks\wotlauncher.exe Brak pliku
FirewallRules: [UDP Query User{367B9A64-AF37-4419-81E0-A1B74EAE51D4}C:\games\world_of_tanks\wotlauncher.exe] => (Allow) C:\games\world_of_tanks\wotlauncher.exe Brak pliku
FirewallRules: [TCP Query User{1AC91889-BF54-461F-A2F9-CE745DBA0DE5}D:\tank\world_of_tanks\wotlauncher.exe] => (Allow) D:\tank\world_of_tanks\wotlauncher.exe (Wargaming PCL -> Wargaming.net) [Brak podpisu cyfrowego]
FirewallRules: [UDP Query User{8E073113-CD20-4C64-8DAA-0EBACFC919A0}D:\tank\world_of_tanks\wotlauncher.exe] => (Allow) D:\tank\world_of_tanks\wotlauncher.exe (Wargaming PCL -> Wargaming.net) [Brak podpisu cyfrowego]
GroupPolicy\User: Ograniczenia ? <==== UWAGA
GroupPolicyUsers\S-1-5-21-3541930631-1061133730-2441918338-1007\User: Ograniczenia <==== UWAGA
Toolbar: HKU\S-1-5-21-3541930631-1061133730-2441918338-1003 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} -  Brak pliku
CHR HKLM\...\Chrome\Extension: [ojcdnngpmbenohhjlickdajclhbcaada] - <Brak Path/update_url>
S3 cpuz132; \??\C:\Users\PAWE~1\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [X] <==== UWAGA
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 LVRS; system32\DRIVERS\lvrs.sys [X]
S3 LVUSBSta; system32\drivers\LVUSBSta.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S3 pepifilter; system32\DRIVERS\lv302af.sys [X]
S3 PID_PEPI; system32\DRIVERS\LV302V32.SYS [X]
C:\Users\Gość\Desktop\Foxit_Reader — skrót.lnk
C:\Users\Gość\Desktop\jv16 PowerTools.lnk
C:\Users\Gość\Desktop\screamer — skrót.lnk
C:\Users\Gość\Desktop\TestOSK.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Office\Niedawny\Porządek WZK 2018 (1).LNK
C:\Users\Gość\AppData\Roaming\Microsoft\Office\Niedawny\ŁOWIECKIE.LNK
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Nic tu więcej podejrzanego nie ma.

 

Komputer jest podłączony do internetu sieci hotelu pracowniczego.

Czyli wszyscy mają ten sam IP, a więc jeśli ktoś "rozrabia" w necie, to odbija się to na wszystkich korzystających z tej sieci.

 

jessi