Witam. Mój komputer zainfekowany został przez jakiegoś szpiega. Zorientowałem się gdy ikona avasta wskazywała, że ochrona jest wyłączona. Po włączeniu osłony antywirus zaczął się aktualizować i wtedy zobaczyłem, że łączy się przez SZBrowser. Przeskanowałem kompa mbamem i wykrył wpisy w rejestrze Adware.Ghokswa i PUP.Optional.MaohaWifi. MBAM też oczywiście został przekierowany. W menadżerze zadań Windows dotychczasowe usługi zostały zatrzymane, zamiast nich jest mnóstwo innych. Instalki przeglądarek internetowych i innych programów zostały podmienione. Pojawiło się konto "Administratorzy" do którego plików nie mam dostępu. Dokopałem się do logów z avasta po chińsku czy japońsku a ostatnio pomogliście mi na forum z usunięciem chińskiego UCBrowsera, może jednak nie do końca został usunięty. Ogólnie na dyskach mam dużo logów z których wynika, że jakiekolwiek osłony, przeglądarki, aktualizacje zostały przekierowane a mój komputer jest sterowany z zewnątrz (tak wywnioskowałem), jeżeli będzie potrzeba to wrzucę. Generalnie nie ma zmian w pracy komputera, oprócz opóźnionego uruchamiania (nie za każdym razem). Przez długi czas jest czarny ekran i dopiero startuje. Zauważyłem też, że dużo dzieje się w tle, głównie przy przeglądaniu internetu. To chyba wszystko. Proszę o pomoc. Sam nie mam pojęcia jak się do tego zabrać a nie wiem czy reinstalka Windowsa ma sens bo pewnie zostały ukryte na dysku pliki, które przywracają ten cały śmietnik. Wrzucam logi z FRSTa z włączonego w normalnym trybie windowsa.
Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 08-05-2017
Uruchomiony przez trash (administrator) TRASH-KOMPUTER (11-05-2017 19:15:23)
Uruchomiony z D:\Programy Zainstalowane\FRST
Załadowane profile: trash & UpdatusUser (Dostępne profile: trash & UpdatusUser)
Platform: Windows 7 Ultimate (X64) Język: Polski (Polska)
Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)
Tryb startu: Normal
Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Procesy (filtrowane) =================
(Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.)
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Atheros Commnucations) C:\Program Files (x86)\Bluetooth Suite\AdminService.exe
(Conexant Systems Inc.) C:\Windows\System32\CxAudMsg64.exe
() C:\ProgramData\DatacardService\HWDeviceService64.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
() C:\ProgramData\MobileBrServ\mbbService.exe
() C:\ProgramData\PLAY INTERNET\OnlineUpdate\ouc.exe
() C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe
(Atheros) C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe
(WIBU-SYSTEMS AG) C:\Program Files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe
(Malwarebytes) D:\Programy Zainstalowane\Anti-Malware\MBAMService.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
(Malwarebytes) D:\Programy Zainstalowane\Anti-Malware\mbamtray.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
() D:\Programy Zainstalowane\PLAY ONLINE\PLAY ONLINE.exe
(Lenovo (Beijing) Limited) C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe
(Lenovo(beijing) Limited) C:\Program Files (x86)\Lenovo\Energy Management\utility.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\CAudioFilterAgent64.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Dolby Laboratories Inc.) C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\Java\jre6\bin\jusched.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
(Microsoft Corporation) C:\Windows\System32\UI0Detect.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(BitTorrent Inc.) C:\Users\trash\AppData\Roaming\uTorrent\uTorrent.exe
(BitTorrent Inc.) C:\Users\trash\AppData\Roaming\uTorrent\updates\3.4.5_41712\utorrentie.exe
(BitTorrent Inc.) C:\Users\trash\AppData\Roaming\uTorrent\updates\3.4.5_41712\utorrentie.exe
(Microsoft Corporation) C:\Windows\System32\prevhost.exe
==================== Rejestr (filtrowane) ====================
(Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.)
HKLM\...\Run: [Energy Management] = & gt; C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe [8079408 2015-10-07] (Lenovo (Beijing) Limited)
HKLM\...\Run: [EnergyUtility] = & gt; C:\Program Files (x86)\Lenovo\Energy Management\Utility.exe [6202416 2015-10-07] (Lenovo(beijing) Limited)
HKLM\...\Run: [cAudioFilterAgent] = & gt; C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [564352 2011-12-15] (Conexant Systems, Inc.)
HKLM\...\Run: [SmartAudio] = & gt; C:\Program Files\CONEXANT\SAII\SACpl.exe [1654400 2011-12-06] (Conexant Systems, Inc.)
HKLM\...\Run: [Malwarebytes TrayApp] = & gt; D:\PROGRAMY ZAINSTALOWANE\ANTI-MALWARE\mbamtray.exe [2780112 2017-01-20] (Malwarebytes)
HKLM-x32\...\Run: [IAStorIcon] = & gt; C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2011-11-29] (Intel Corporation)
HKLM-x32\...\Run: [Dolby Advanced Audio v2] = & gt; C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe [507744 2011-12-20] (Dolby Laboratories Inc.)
HKLM-x32\...\Run: [USB3MON] = & gt; C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [291648 2012-05-21] (Intel Corporation)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] = & gt; D:\Programy Zainstalowane\Adobe Reader\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] = & gt; C:\Program Files (x86)\Java\jre6\bin\jusched.exe [149280 2015-11-01] (Sun Microsystems, Inc.)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {0070d75c-69f4-11e5-b4b5-ffe73c4e6745} - I:\LGAutoRun.exe
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {02a6ff24-2ab6-11e7-8057-dc0ea1f9e5bf} - G:\AutoRun.exe
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {02a6ff2f-2ab6-11e7-8057-dc0ea1f9e5bf} - G:\AutoRun.exe
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {7b530f18-1061-11e7-9ca4-dc0ea1f9e5bf} - G:\AutoRun.exe
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {85f25d22-2c3c-11e7-b830-446d57a3692a} - G:\AutoRun.exe
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {932a84fa-0fc8-11e7-b759-446d57a3692a} - G:\AutoRun.exe
ShellIconOverlayIdentifiers: [00asw] - & gt; {472083B0-C522-11CF-8763-00608CC02F24} = & gt; - & gt; Brak pliku
ShellIconOverlayIdentifiers: [00avast] - & gt; {472083B0-C522-11CF-8763-00608CC02F24} = & gt; - & gt; Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] - & gt; {8BA85C75-763B-4103-94EB-9470F12FE0F7} = & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\GROOVEEX.DLL [2012-10-01] (Microsoft Corporation)
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] - & gt; {CD55129A-B1A1-438E-A425-CEBC7DC684EE} = & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\GROOVEEX.DLL [2012-10-01] (Microsoft Corporation)
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] - & gt; {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} = & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\GROOVEEX.DLL [2012-10-01] (Microsoft Corporation)
Startup: C:\Users\trash\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk [2015-11-01]
ShortcutTarget: OpenOffice.org 3.1.lnk - & gt; C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
==================== Internet (filtrowane) ====================
(Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.)
Tcpip\..\Interfaces\{3FF76931-4C7D-4A6A-976F-F8A69D4DFBFC}: [NameServer] 89.108.195.20 185.89.185.1
Tcpip\..\Interfaces\{6129BC7C-8453-45B4-ABD3-8D86474E91A2}: [NameServer] 89.108.195.20 185.89.185.1
Tcpip\..\Interfaces\{612A8CB1-7E2F-4F99-AE45-7FA4864CCE4C}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{65E7DA5C-0BE8-46CB-9C57-585B34EA7142}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{A5F9C04C-3598-4301-92E9-BA7E11A0ACA9}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
BHO: Lync Browser Helper - & gt; {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - & gt; C:\Program Files\Microsoft Office\Office15\OCHelper.dll [2012-10-01] (Microsoft Corporation)
BHO: Office Document Cache Handler - & gt; {B4F3A835-0E21-4959-BA22-42B3008E02FF} - & gt; C:\Program Files\Microsoft Office\Office15\URLREDIR.DLL [2012-10-01] (Microsoft Corporation)
BHO: Microsoft SkyDrive Pro Browser Helper - & gt; {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - & gt; C:\Program Files\Microsoft Office\Office15\GROOVEEX.DLL [2012-10-01] (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - & gt; {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - & gt; C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27] (Adobe Systems Incorporated)
BHO-x32: Lync Browser Helper - & gt; {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\OCHelper.dll [2012-10-01] (Microsoft Corporation)
BHO-x32: CIESpeechBHO Class - & gt; {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - & gt; C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll [2012-04-28] (Atheros Commnucations)
BHO-x32: Office Document Cache Handler - & gt; {B4F3A835-0E21-4959-BA22-42B3008E02FF} - & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\URLREDIR.DLL [2012-10-01] (Microsoft Corporation)
BHO-x32: Microsoft SkyDrive Pro Browser Helper - & gt; {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - & gt; D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\GROOVEEX.DLL [2012-10-01] (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - & gt; {DBC80044-A445-435b-BC74-9C25C1C588A9} - & gt; C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2015-11-01] (Sun Microsystems, Inc.)
BHO-x32: IplexToALLPlayer - & gt; {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - & gt; D:\Programy Zainstalowane\ALLPlayer\Iplex\IplexToALLPlayer.dll [2011-02-09] (ALLCinema Ltd.)
Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - D:\Programy Zainstalowane\Microsoft Excell 2013\Office15\MSOSB.DLL [2012-10-01] (Microsoft Corporation)
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2009-07-14] (Microsoft Corporation)
FireFox:
========
FF ProfilePath: C:\Users\trash\AppData\Roaming\Mozilla\Sunbird\Profiles\k4sn03mf.default [2017-03-30]
FF Extension: (Timezone Definitions for Mozilla Calendar) - D:\Programy Zainstalowane\Mozilla Sunbird\extensions\calendar-timezones@mozilla.org [2016-03-08] [Brak podpisu cyfrowego]
FF Extension: (Talkback) - D:\Programy Zainstalowane\Mozilla Sunbird\extensions\talkback@mozilla.org [2016-03-08] [Brak podpisu cyfrowego]
FF Extension: (Lightning stub extension for Sunbird) - D:\Programy Zainstalowane\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2016-03-08] [Brak podpisu cyfrowego]
FF Plugin: @adobe.com/FlashPlayer - & gt; C:\Windows\system32\Macromed\Flash\NPSWF64_25_0_0_148.dll [2017-04-12] ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - & gt; C:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-12] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer - & gt; C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_25_0_0_148.dll [2017-04-12] ()
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.0.59 - & gt; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2012-01-07] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater - & gt; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2012-01-07] (Intel Corporation)
FF Plugin-x32: @microsoft.com/Lync,version=15.0 - & gt; C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - & gt; C:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-12] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 - & gt; D:\PROGRA~1\MICROS~1\Office15\NPSPWRAP.DLL [2012-10-01] (Microsoft Corporation)
FF Plugin-x32: @real.com/nppl3260;version=6.0.12.450 - & gt; C:\Program Files (x86)\Real Alternative\browser\plugins\nppl3260.dll [2010-02-15] (RealNetworks, Inc.)
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.448 - & gt; C:\Program Files (x86)\Real Alternative\browser\plugins\nprpjplug.dll [2010-02-15] (RealNetworks, Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=3 - & gt; C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-28] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 - & gt; C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-28] (Google Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npMeetingJoinPluginOC.dll [2012-10-01] (Microsoft Corporation)
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nppl3260.dll [2010-02-15] (RealNetworks, Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nprpjplug.dll [2010-02-15] (RealNetworks, Inc.)
Chrome:
=======
CHR Profile: C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default [2017-05-11]
CHR Extension: (Dysk Google) - C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-03-28]
CHR Extension: (YouTube) - C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-03-27]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-27]
CHR Extension: (Gmail) - C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-03-27]
CHR Extension: (Chrome Media Router) - C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-05-11]
==================== Usługi (filtrowane) ====================
(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)
R2 AtherosSvc; C:\Program Files (x86)\Bluetooth Suite\adminservice.exe [119424 2012-04-28] (Atheros Commnucations) [Brak podpisu cyfrowego]
R2 HWDeviceService64.exe; C:\ProgramData\DatacardService\HWDeviceService64.exe [351824 2014-01-15] ()
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [161560 2012-02-29] (Intel Corporation)
R2 MBAMService; D:\Programy Zainstalowane\Anti-Malware\mbamservice.exe [4355024 2017-01-20] (Malwarebytes)
R2 Mobile Broadband HL Service; C:\ProgramData\MobileBrServ\mbbservice.exe [242264 2015-09-23] ()
S2 PLAY INTERNET. RunOuc; C:\Program Files (x86)\PLAY INTERNET\UpdateDog\ouc.exe [651856 2013-10-26] ()
S2 PLAY ONLINE. RunOuc; D:\Programy Zainstalowane\PLAY ONLINE\UpdateDog\ouc.exe [246112 2017-03-23] ()
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)
R2 ZAtheros Bt & Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [163456 2012-04-28] (Atheros) [Brak podpisu cyfrowego]
===================== Sterowniki (filtrowane) ======================
(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)
S3 aswTap; C:\Windows\System32\DRIVERS\aswTap.sys [44640 2016-04-01] (The OpenVPN Project)
R3 huawei_wwanecm; C:\Windows\System32\DRIVERS\ew_juwwanecm.sys [248320 2014-08-21] (Huawei Technologies Co., Ltd.)
S3 hwusb_cdcacm; C:\Windows\System32\DRIVERS\ew_cdcacm.sys [125952 2014-07-25] (Huawei Technologies Co., Ltd.)
S3 hwusb_wwanecm; C:\Windows\System32\DRIVERS\ew_wwanecm.sys [380672 2014-09-30] (Huawei Technologies Co., Ltd.)
R1 ISODrive; D:\Programy Zainstalowane\UltraISO\drivers\ISODrv64.sys [115600 2010-01-29] (EZB Systems, Inc.)
R3 L1C; C:\Windows\System32\DRIVERS\L1C62x64.sys [104048 2012-03-02] (Qualcomm Atheros Co., Ltd.)
R0 MBAMSwissArmy; C:\Windows\System32\drivers\MBAMSwissArmy.sys [251832 2017-05-11] (Malwarebytes)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [394296 2016-07-15] (Duplex Secure Ltd.)
==================== NetSvcs (filtrowane) ===================
(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)
==================== Jeden miesiąc - utworzone pliki i foldery ========
(Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.)
2017-05-11 19:13 - 2017-05-11 19:15 - 00000000 ____D C:\FRST
2017-05-11 18:23 - 2017-05-11 18:23 - 00000020 ___SH C:\Users\TEMP.trash-Komputer.001\ntuser.ini
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Ustawienia lokalne
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Szablony
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Moje dokumenty
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Menu Start
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Documents\Moje wideo
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Documents\Moje obrazy
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Documents\Moja muzyka
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\Dane aplikacji
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programy
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\AppData\Local\Historia
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 _SHDL C:\Users\TEMP.trash-Komputer.001\AppData\Local\Dane aplikacji
2017-05-11 18:23 - 2017-05-11 18:23 - 00000000 ____D C:\Users\TEMP.trash-Komputer.001
2017-05-11 18:23 - 2017-02-19 12:48 - 00000000 ____D C:\Users\TEMP.trash-Komputer.001\AppData\Roaming\SPSSInc
2017-05-11 18:23 - 2017-01-19 13:19 - 00000000 ____D C:\Users\TEMP.trash-Komputer.001\AppData\Local\AdvinstAnalytics
2017-05-11 18:23 - 2015-10-14 22:48 - 00000000 ____D C:\Users\TEMP.trash-Komputer.001\AppData\Roaming\TuneUp Software
2017-05-11 18:23 - 2009-07-14 20:09 - 00000000 ____D C:\Users\TEMP.trash-Komputer.001\AppData\Roaming\Media Center Programs
2017-05-11 18:20 - 2017-05-11 18:20 - 00000000 ____H C:\ProgramData\cm-lock
2017-05-11 17:43 - 2017-05-11 18:23 - 00000000 ____D C:\Users\TEMP.trash-Komputer.000\AppData\Roaming\TuneUp Software
2017-05-11 17:43 - 2017-05-11 18:23 - 00000000 ____D C:\Users\TEMP.trash-Komputer.000
2017-05-11 15:32 - 2017-05-11 15:32 - 00007610 _____ C:\Users\trash\AppData\Local\Resmon.ResmonCfg
2017-05-08 21:12 - 2017-05-10 23:05 - 00039242 _____ C:\Users\trash\Documents\licencjat próba kolejna.odt
2017-05-05 21:32 - 2017-05-05 21:32 - 02372942 _____ C:\Users\trash\Desktop\Programy-zdrowotne-prezentacja-na-06.05.pptx
2017-05-05 12:56 - 2017-05-05 20:30 - 00364307 _____ C:\Users\trash\Documents\Prezentacja promocja zdro.pptx
2017-05-04 21:52 - 2017-05-05 13:11 - 00023503 _____ C:\Users\trash\Documents\Prezentacja promocja zdrowia.odt
2017-05-03 11:43 - 2017-05-03 11:43 - 00012612 _____ C:\Users\trash\Documents\lic2.pdf
2017-05-01 13:45 - 2017-05-08 22:22 - 00025201 _____ C:\Users\trash\Documents\licencjat druga czesc.odt
2017-04-30 14:01 - 2017-04-30 19:19 - 00031270 _____ C:\Users\trash\Documents\licencjat rozdzial2.odt
2017-04-26 22:04 - 2017-04-26 22:04 - 00001077 _____ C:\Users\Public\Desktop\PLAY INTERNET.lnk
2017-04-26 22:04 - 2017-04-26 22:04 - 00000000 ____D C:\ProgramData\PLAY INTERNET
2017-04-26 22:04 - 2017-04-26 22:04 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY INTERNET
2017-04-26 22:03 - 2014-09-30 10:51 - 00380672 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_wwanecm.sys
2017-04-26 22:03 - 2014-09-11 09:36 - 00457728 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ewusbwwan.sys
2017-04-26 22:03 - 2014-08-21 07:40 - 00248320 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_juwwanecm.sys
2017-04-26 22:03 - 2014-07-25 11:08 - 00125952 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_cdcacm.sys
2017-04-26 22:03 - 2013-11-30 11:10 - 00110592 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_jucdcacm.sys
2017-04-26 22:03 - 2013-11-30 11:10 - 00091648 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_jubusenum.sys
2017-04-26 22:03 - 2013-11-30 11:10 - 00077312 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_jucdcecm.sys
2017-04-26 22:03 - 2013-11-30 11:10 - 00030720 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_juextctrl.sys
2017-04-26 22:03 - 2013-11-30 10:55 - 00226176 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ewusbmdm.sys
2017-04-26 22:03 - 2013-01-25 03:16 - 00109568 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_hwusbdev.sys
2017-04-26 22:03 - 2012-12-22 03:46 - 00014976 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_usbenumfilter.sys
2017-04-26 22:03 - 2010-10-08 10:59 - 00032768 _____ (Huawei Tech. Co., Ltd.) C:\Windows\system32\Drivers\ewdcsc.sys
2017-04-26 22:03 - 2010-09-26 12:09 - 00022016 _____ (Huawei Technologies Co., Ltd.) C:\Windows\system32\Drivers\ew_hwupgrade.sys
2017-04-26 22:02 - 2017-04-26 22:04 - 00000000 ____D C:\Program Files (x86)\PLAY INTERNET
==================== Jeden miesiąc - zmodyfikowane pliki i foldery ========
(Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.)
2017-05-11 19:14 - 2015-10-24 23:40 - 00000000 ____D C:\Users\trash\AppData\Roaming\uTorrent
2017-05-11 18:53 - 2017-03-11 19:59 - 00000000 ____D C:\Users\trash\AppData\LocalLow\uTorrent
2017-05-11 18:28 - 2009-07-14 06:45 - 00017136 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-05-11 18:28 - 2009-07-14 06:45 - 00017136 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-05-11 18:22 - 2017-03-23 13:07 - 00251832 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2017-05-11 18:21 - 2017-01-20 13:00 - 01704432 _____ C:\Windows\ntbtlog.txt
2017-05-11 18:21 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\tracing
2017-05-11 18:20 - 2017-03-23 15:32 - 00065536 _____ C:\Windows\system32\Ikeext.etl
2017-05-11 18:20 - 2016-04-01 21:35 - 00000000 ____D C:\ProgramData\AVAST Software
2017-05-11 18:20 - 2015-11-10 23:05 - 00000000 ____D C:\Program Files\Common Files\AV
2017-05-11 18:20 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-05-11 18:19 - 2015-10-18 15:58 - 00000000 ____D C:\Users\trash\AppData\Roaming\IrfanView
2017-05-11 18:19 - 2015-10-10 06:14 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2017-05-11 18:19 - 2015-10-10 06:14 - 00000000 ____D C:\Windows\system32\Macromed
2017-05-11 18:19 - 2015-10-07 21:39 - 00000000 ____D C:\Users\trash\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo
2017-05-11 18:19 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\registration
2017-05-11 18:11 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2017-05-11 17:23 - 2015-10-07 22:13 - 00000000 ____D C:\Users\UpdatusUser
2017-05-11 17:23 - 2015-09-29 02:25 - 00000000 ____D C:\Users\trash
2017-05-10 17:01 - 2015-11-02 11:26 - 00000000 ____D C:\Users\trash\AppData\LocalLow\Temp
2017-05-05 21:37 - 2009-07-14 19:55 - 00737480 _____ C:\Windows\system32\perfh015.dat
2017-05-05 21:37 - 2009-07-14 19:55 - 00154136 _____ C:\Windows\system32\perfc015.dat
2017-05-05 21:37 - 2009-07-14 07:13 - 01663152 _____ C:\Windows\system32\PerfStringBackup.INI
2017-05-05 08:47 - 2016-12-15 22:30 - 00000000 ____D C:\ProgramData\OnlineUpdate
2017-04-28 21:13 - 2016-04-01 21:42 - 00003480 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2017-04-28 21:13 - 2016-04-01 21:42 - 00003352 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2017-04-26 22:04 - 2015-10-03 19:31 - 00000000 ____D C:\ProgramData\DatacardService
2017-04-24 20:02 - 2015-12-21 23:27 - 00000000 ____D C:\Users\trash\AppData\Local\ElevatedDiagnostics
2017-04-20 23:35 - 2015-11-23 14:55 - 00000000 ____D C:\Users\trash\Desktop\egzaminy
2017-04-12 15:55 - 2017-03-23 13:07 - 00077440 _____ C:\Windows\system32\Drivers\mbae64.sys
2017-04-12 08:35 - 2015-10-10 06:14 - 00802904 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2017-04-12 08:35 - 2015-10-10 06:14 - 00144472 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2017-04-12 08:35 - 2015-10-10 06:14 - 00004412 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2017-04-11 07:56 - 2009-07-14 07:09 - 00000000 ____D C:\Windows\System32\Tasks\WPD
==================== Pliki w katalogu głównym wybranych folderów =======
2016-01-16 00:11 - 2016-01-16 00:11 - 0033270 _____ () C:\Users\trash\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0P1C1L1R1P0F1F2Y1G2Z1T1L1G.txt
2015-10-20 22:02 - 2017-04-08 21:51 - 0013824 _____ () C:\Users\trash\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2017-05-11 15:32 - 2017-05-11 15:32 - 0007610 _____ () C:\Users\trash\AppData\Local\Resmon.ResmonCfg
2016-01-31 00:21 - 2016-01-31 00:21 - 0000057 _____ () C:\ProgramData\Ament.ini
2017-05-11 18:20 - 2017-05-11 18:20 - 0000000 ____H () C:\ProgramData\cm-lock
Niektóre pliki w TEMP:
====================
2017-03-28 20:18 - 2017-03-28 20:18 - 1005568 _____ (Microsoft Corporation) C:\Users\trash\AppData\Local\Temp\dt_4F5.tmp.exe
2017-04-30 05:55 - 2017-05-04 02:50 - 0004910 _____ () C:\Users\trash\AppData\Local\Temp\t.dll
==================== Bamital & volsnap ======================
(Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.)
C:\Windows\system32\winlogon.exe = & gt; Plik podpisany cyfrowo
C:\Windows\system32\wininit.exe = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\wininit.exe = & gt; Plik podpisany cyfrowo
C:\Windows\explorer.exe = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\explorer.exe = & gt; Plik podpisany cyfrowo
C:\Windows\system32\svchost.exe = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\svchost.exe = & gt; Plik podpisany cyfrowo
C:\Windows\system32\services.exe = & gt; Plik podpisany cyfrowo
C:\Windows\system32\User32.dll = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\User32.dll = & gt; Plik podpisany cyfrowo
C:\Windows\system32\userinit.exe = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\userinit.exe = & gt; Plik podpisany cyfrowo
C:\Windows\system32\rpcss.dll = & gt; Plik podpisany cyfrowo
C:\Windows\system32\dnsapi.dll = & gt; Plik podpisany cyfrowo
C:\Windows\SysWOW64\dnsapi.dll = & gt; Plik podpisany cyfrowo
C:\Windows\system32\Drivers\volsnap.sys = & gt; Plik podpisany cyfrowo
LastRegBack: 2017-05-03 15:01
==================== Koniec FRST.txt ============================