Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x86) Wersja: 20.06.2018 Uruchomiony przez Domek (administrator) USER-KOMPUTER (02-07-2018 12:44:39) Uruchomiony z C:\Users\Domek\Desktop Załadowane profile: Domek (Dostępne profile: Domek) Platform: Microsoft Windows 7 Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: FF) Tryb startu: Normal Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Procesy (filtrowane) ================= (Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.) (Webroot) C:\Program Files\Webroot\WRSA.exe (Webroot) C:\Program Files\Webroot\WRSA.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (CyberLink) C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (Intel Corporation) C:\Windows\System32\igfxsrvc.exe (Piriform Ltd) C:\Program Files\CCleaner\CCleaner.exe ==================== Rejestr (filtrowane) =========================== (Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.) HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-12-15] (CyberLink) HKLM\...\Run: [UpdateP2GoShortCut] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM\...\Run: [UpdatePSTShortCut] => "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter" HKLM\...\Run: [WRSVC] => C:\Program Files\Webroot\WRSA.exe [3688336 2018-05-07] (Webroot) HKU\S-1-5-21-3589394612-1906481350-2266151469-1100\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [12762872 2018-03-06] (Piriform Ltd) HKU\S-1-5-21-3589394612-1906481350-2266151469-1100\...\MountPoints2: {b50eb6e9-1be1-11e8-ae5f-6cf049cd87bb} - E:\AutoRun.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Install LastPass FF RunOnce.lnk [2018-04-04] ShortcutTarget: Install LastPass FF RunOnce.lnk -> C:\Program Files\Common Files\wruninstall.exe (Webroot Software, Inc.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Install LastPass IE RunOnce.lnk [2018-04-04] ShortcutTarget: Install LastPass IE RunOnce.lnk -> C:\Program Files\Common Files\wruninstall.exe (Webroot Software, Inc.) CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA ==================== Internet (filtrowane) ==================== (Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.) Tcpip\Parameters: [DhcpNameServer] 192.168.1.254 Tcpip\..\Interfaces\{20A94A1D-2B1B-4608-9DF2-CF225AD3E866}: [DhcpNameServer] 192.168.1.1 192.168.1.1 Tcpip\..\Interfaces\{4A9FC229-1631-4C45-9C67-6FAA7F61FDDB}: [DhcpNameServer] 192.168.1.254 Tcpip\..\Interfaces\{4DBD5471-3676-45FD-B62F-CA9064872424}: [DhcpNameServer] 192.168.1.1 192.168.1.1 Tcpip\..\Interfaces\{5333923E-4457-4FDD-B6D5-48E40BEC6E21}: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{63C8ED90-9570-4C3A-84F0-EE1E004B45F2}: [DhcpNameServer] 192.168.1.1 192.168.1.1 Tcpip\..\Interfaces\{7D58F21E-F954-4494-A9C7-25A06E293160}: [DhcpNameServer] 192.168.1.1 192.168.1.1 Internet Explorer: ================== HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA HKU\S-1-5-21-3589394612-1906481350-2266151469-1100\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp BHO: Webroot Filtering Extension -> {C9C42510-9B41-42c1-9DCD-7282A2D07C61} -> C:\Program Files\Common Files\Webroot\WebFiltering\wrflt.dll [2018-06-04] (Webroot) DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FireFox: ======== FF ProfilePath: C:\Users\Domek\AppData\Roaming\Mozilla\Firefox\Profiles\knbn91c7.default [2018-07-02] FF Extension: (Brak nazwy) - C:\Users\Domek\AppData\Roaming\Mozilla\Firefox\Profiles\knbn91c7.default\Extensions\{8ac62a8b-8b3f-43ba-9b1a-90c299b9dfda}_deleted [2018-04-04] FF HKLM\...\Firefox\Extensions: [webrootsecure@webroot.com] - C:\ProgramData\WRData\PKG\FF_WEBEX FF Extension: (Brak nazwy) - C:\ProgramData\WRData\PKG\FF_WEBEX [2018-06-04] FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.33.17\npGoogleUpdate3.dll [2018-05-21] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.33.17\npGoogleUpdate3.dll [2018-05-21] (Google Inc.) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2017-08-01] (Adobe Systems Inc.) FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-branding.js [2010-12-03] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-l10n.js [2010-12-03] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox.js [2010-12-03] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\reporter.js [2010-12-03] Chrome: ======= CHR HomePage: Default -> hxxp://www.google.com CHR Profile: C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default [2018-07-02] CHR Extension: (Dokumenty) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2018-02-25] CHR Extension: (Dysk Google) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2018-02-25] CHR Extension: (YouTube) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2018-02-25] CHR Extension: (Arkusze) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2018-02-25] CHR Extension: (Dokumenty Google offline) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2018-02-25] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2018-06-16] CHR Extension: (Gmail) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2018-02-25] CHR Extension: (Chrome Media Router) - C:\Users\Domek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-06-16] CHR Profile: C:\Users\Domek\AppData\Local\Google\Chrome\User Data\System Profile [2018-07-02] CHR HKLM\...\Chrome\Extension: [kjeghcllfecehndceplomkocgfbklffd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ngkhgikojglcgnckopipfdajaifmmnnc] - hxxp://clients2.google.com/service/update2/crx ==================== Usługi (filtrowane) ==================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) S3 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [4753104 2018-05-09] (Malwarebytes) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation) R2 WRSVC; C:\Program Files\Webroot\WRSA.exe [3688336 2018-05-07] (Webroot) ===================== Sterowniki (filtrowane) ====================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [220896 2018-06-24] (Malwarebytes) R0 WRkrn; C:\Windows\System32\drivers\WRkrn.sys [143760 2018-05-07] (Webroot) S3 wrUrlFlt; C:\Windows\system32\DRIVERS\wrUrlFlt.sys [62688 2018-05-07] (Webroot) ==================== NetSvcs (filtrowane) =================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ==================== Jeden miesiąc - utworzone pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2018-07-02 12:44 - 2018-07-02 12:45 - 000008463 _____ C:\Users\Domek\Desktop\FRST.txt 2018-07-02 12:44 - 2018-07-02 12:44 - 000000000 ____D C:\FRST 2018-07-02 12:40 - 2018-07-02 12:41 - 000000000 ____D C:\AdwCleaner 2018-07-02 12:40 - 2018-07-02 12:40 - 001773056 _____ (Farbar) C:\Users\Domek\Desktop\FRST.exe 2018-07-02 12:37 - 2018-07-02 12:37 - 000000000 ____D C:\Users\Domek\Desktop\diagnostyka 2018-07-02 12:29 - 2018-07-02 12:29 - 000000000 ____D C:\Users\Domek\Desktop\zamówienia 2018-07-02 11:21 - 2018-07-02 11:21 - 000000000 ____D C:\Users\Domek\AppData\LocalLow\Adobe 2018-07-02 11:21 - 2018-07-02 11:21 - 000000000 ____D C:\Users\Domek\AppData\Local\Adobe 2018-07-02 09:59 - 2018-07-02 09:59 - 000000000 ____D C:\Program Files\Common Files\Webroot 2018-07-02 09:36 - 2018-07-02 09:37 - 000000000 ____D C:\Program Files\LibreOffice 2018-07-02 09:16 - 2018-07-02 09:16 - 001356070 _____ C:\Users\Domek\Downloads\Biblia Szatana.pdf 2018-07-02 09:16 - 2018-07-02 09:16 - 000746919 _____ C:\Users\Domek\Downloads\Abramowicz Marta - Zakonnice odchodzą po cichu (2016) (1).pdf 2018-07-02 09:15 - 2018-07-02 09:16 - 000746919 _____ C:\Users\Domek\Downloads\Abramowicz Marta - Zakonnice odchodzą po cichu (2016).pdf 2018-07-01 23:45 - 2018-07-01 23:45 - 000000000 ____D C:\SFCFix 2018-07-01 10:10 - 2018-07-01 10:10 - 000000000 ____D C:\Users\Domek\AppData\Roaming\Macromedia 2018-06-29 13:03 - 2018-06-29 13:03 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip 2018-06-29 13:03 - 2018-06-29 13:03 - 000000000 ____D C:\Program Files\7-Zip 2018-06-27 19:19 - 2018-06-27 22:26 - 000000000 ____D C:\Users\Domek\Desktop\Nowy folder 2018-06-27 09:25 - 2018-07-01 23:45 - 000000000 ____D C:\Users\Domek\AppData\Local\niemiro 2018-06-26 19:06 - 2018-06-29 14:01 - 000000000 ____D C:\Users\Domek\Desktop\ODZYSK 2018-06-25 11:30 - 2018-06-29 14:02 - 000000000 ____D C:\Users\Domek\Desktop\etsy 2018-06-25 10:05 - 2018-07-01 00:34 - 000000570 _____ C:\Users\Domek\Desktop\Nowy dokument tekstowy (2).txt 2018-06-25 00:01 - 2018-06-29 13:10 - 000000000 ____D C:\Users\Domek\Desktop\MUZYKA 2018-06-25 00:00 - 2018-06-30 01:30 - 000000000 ____D C:\Users\Domek\Desktop\FILMY 2018-06-23 16:16 - 2018-06-23 16:17 - 000000000 ____D C:\Users\Domek\Desktop\DYNKS 2018-06-23 11:22 - 2018-06-29 19:48 - 000007667 _____ C:\Users\Domek\AppData\Local\resmon.resmoncfg 2018-06-15 21:43 - 2018-06-15 21:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack 2018-06-15 21:43 - 2018-06-15 21:43 - 000000000 ____D C:\Program Files\K-Lite Codec Pack 2018-06-15 21:36 - 2018-06-15 21:36 - 001123840 _____ (Karol Winnicki) C:\Users\Domek\Desktop\BESTplayer.exe 2018-06-15 21:36 - 2018-06-15 21:36 - 000000000 ____D C:\Users\Domek\AppData\Roaming\BESTplayer 2018-06-15 21:03 - 2018-07-02 12:43 - 000000000 ____D C:\Users\Domek\Desktop\Pobieranie 2018-06-15 20:49 - 2018-06-24 22:27 - 000220896 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys 2018-06-15 20:49 - 2018-06-15 20:49 - 000001984 _____ C:\Users\Public\Desktop\Malwarebytes.lnk 2018-06-15 20:49 - 2018-06-15 20:49 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes 2018-06-15 20:49 - 2018-06-15 20:49 - 000000000 ____D C:\ProgramData\Malwarebytes 2018-06-15 20:49 - 2018-06-15 20:49 - 000000000 ____D C:\Program Files\Malwarebytes 2018-06-15 20:49 - 2018-05-24 06:55 - 000128736 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae.sys 2018-06-15 20:47 - 2018-06-15 20:48 - 077714448 _____ (Malwarebytes ) C:\Users\Domek\Downloads\mb3-setup-consumer-3.5.1.2522-1.0.374-1.0.5480.exe 2018-06-12 20:50 - 2018-06-12 20:50 - 000168864 _____ C:\Users\Domek\Downloads\Message_PdfFileTitleSigned_20180612_205040.pdf ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2018-07-02 12:43 - 2018-03-13 22:24 - 000180600 _____ (Webroot) C:\Windows\system32\WRusr.dll 2018-07-02 12:43 - 2009-07-14 06:53 - 000000006 ____H C:\Windows\Tasks\SA.DAT 2018-07-02 12:40 - 2018-02-27 21:25 - 000000000 ____D C:\Users\Domek\AppData\LocalLow\Mozilla 2018-07-02 11:21 - 2018-02-25 16:46 - 000000000 ____D C:\Users\Domek\AppData\Roaming\Adobe 2018-07-02 10:10 - 2009-07-14 06:34 - 000023568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2018-07-02 10:10 - 2009-07-14 06:34 - 000023568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2018-07-02 10:06 - 2011-02-17 18:39 - 001670590 _____ C:\Windows\system32\PerfStringBackup.INI 2018-07-02 10:06 - 2009-07-14 10:07 - 000740438 _____ C:\Windows\system32\perfh015.dat 2018-07-02 10:06 - 2009-07-14 10:07 - 000156012 _____ C:\Windows\system32\perfc015.dat 2018-07-02 10:06 - 2009-07-14 04:37 - 000000000 ____D C:\Windows\inf 2018-07-02 10:00 - 2018-02-25 16:46 - 000000000 ____D C:\Users\Domek 2018-07-02 09:58 - 2018-03-13 22:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Webroot SecureAnywhere 2018-07-02 09:58 - 2018-03-13 22:24 - 000000000 ____D C:\Program Files\Webroot 2018-07-02 09:58 - 2016-03-15 09:55 - 000000000 ____D C:\Program Files\Adobe 2018-07-02 09:58 - 2013-11-22 11:06 - 000000000 ____D C:\ProgramData\AVAST Software 2018-07-02 09:58 - 2011-07-05 11:59 - 000000000 ____D C:\Windows\system32\Adobe 2018-07-02 09:58 - 2011-06-24 09:58 - 000000000 ____D C:\Program Files\Common Files\Adobe 2018-07-02 09:58 - 2011-02-28 12:45 - 000000000 ____D C:\ProgramData\Adobe 2018-07-02 09:58 - 2011-02-22 14:19 - 000000000 ____D C:\ProgramData\Alwil Software 2018-07-02 09:58 - 2011-02-22 13:31 - 000000000 ____D C:\Users\Public\CyberLink 2018-07-02 09:58 - 2009-07-14 04:37 - 000000000 __RHD C:\Users\Public\Libraries 2018-07-02 09:58 - 2009-07-14 04:37 - 000000000 ____D C:\Windows\registration 2018-07-02 09:44 - 2018-02-25 16:47 - 000144056 _____ C:\Users\Domek\AppData\Local\GDIPFONTCACHEV1.DAT 2018-07-02 08:16 - 2009-07-14 04:37 - 000000000 ____D C:\Program Files\Common Files\microsoft shared 2018-07-01 20:01 - 2018-03-13 22:24 - 000000000 ____D C:\ProgramData\WRData 2018-07-01 11:17 - 2018-05-28 17:42 - 000000000 ____D C:\Users\Domek\AppData\Local\ElevatedDiagnostics 2018-07-01 09:34 - 2009-07-14 06:33 - 000409512 _____ C:\Windows\system32\FNTCACHE.DAT 2018-07-01 09:20 - 2009-07-14 04:37 - 000000000 ____D C:\Program Files\Common Files\System 2018-07-01 09:20 - 2009-07-14 04:04 - 000000387 _____ C:\Windows\win.ini 2018-06-26 22:49 - 2013-03-15 10:04 - 000002136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk 2018-06-26 22:49 - 2013-03-15 10:04 - 000002095 _____ C:\Users\Public\Desktop\Google Chrome.lnk 2018-06-21 19:34 - 2009-07-14 06:53 - 000032604 _____ C:\Windows\Tasks\SCHEDLGU.TXT 2018-06-17 17:08 - 2013-03-15 09:59 - 000000000 ____D C:\Program Files\Google 2018-06-17 11:05 - 2018-02-25 16:46 - 000000000 ____D C:\Users\Domek\AppData\Local\Google 2018-06-16 18:47 - 2011-03-01 11:43 - 000000000 ____D C:\Program Files\Mozilla Firefox 2018-06-15 21:24 - 2018-02-27 20:03 - 000000000 ____D C:\Users\Domek\AppData\Local\Microsoft Games 2018-06-11 20:07 - 2013-02-21 12:29 - 000842240 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe 2018-06-11 20:07 - 2013-02-21 12:29 - 000175104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl 2018-06-11 20:07 - 2011-02-22 13:09 - 000000000 ____D C:\Windows\system32\Macromed ==================== Pliki w katalogu głównym wybranych folderów ======= 2018-03-13 22:25 - 2018-04-04 20:26 - 018102328 _____ (Webroot Software, Inc.) C:\Program Files\Common Files\wruninstall.exe 2018-06-23 11:22 - 2018-06-29 19:48 - 000007667 _____ () C:\Users\Domek\AppData\Local\resmon.resmoncfg ==================== Bamital & volsnap ====================== (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\Windows\explorer.exe => Plik podpisany cyfrowo C:\Windows\system32\winlogon.exe => Plik podpisany cyfrowo C:\Windows\system32\wininit.exe => Plik podpisany cyfrowo C:\Windows\system32\svchost.exe => Plik podpisany cyfrowo C:\Windows\system32\services.exe => Plik podpisany cyfrowo C:\Windows\system32\User32.dll => Plik podpisany cyfrowo C:\Windows\system32\userinit.exe => Plik podpisany cyfrowo C:\Windows\system32\rpcss.dll => Plik podpisany cyfrowo C:\Windows\system32\dnsapi.dll => Plik podpisany cyfrowo C:\Windows\system32\Drivers\volsnap.sys => Plik podpisany cyfrowo LastRegBack: 2018-06-27 18:19 ==================== Koniec FRST.txt ============================