Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 01.08.2018 Uruchomiony przez awojtysiak (administrator) ZAOPATRZ03 (02-08-2018 13:25:12) Uruchomiony z C:\ Załadowane profile: awojtysiak (Dostępne profile: admin & awojtysiak & fitman) Platform: Windows 10 Pro Wersja 1511 10586.1176 (X64) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: FF) Tryb startu: Normal Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Procesy (filtrowane) ================= (Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.) (Intel Corporation) C:\Windows\System32\igfxCUIService.exe (Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe (Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Dropbox, Inc.) C:\Windows\System32\DbxSvc.exe (SolarWinds) C:\Windows\dwrcs\DWRCS.EXE (Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe (Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe (Intel Corporation) C:\Windows\SysWOW64\IntelCpHeciSvc.exe (SolarWinds) C:\Windows\dwrcs\DWRCST.EXE (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe () C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe (Intel Corporation) C:\Windows\System32\igfxEM.exe (Intel Corporation) C:\Windows\System32\igfxHK.exe (Intel Corporation) C:\Windows\System32\igfxTray.exe (Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe (Microsoft Corporation) C:\Windows\System32\mobsync.exe (SolarWinds) C:\Windows\dwrcs\DWRCS.EXE (Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe (Skype Technologies S.A.) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (Skype Technologies S.A.) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (Skype Technologies S.A.) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (Skype Technologies S.A.) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe ==================== Rejestr (filtrowane) =========================== (Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.) HKLM\...\Run: [DameWare MRC Agent] => C:\Windows\dwrcs\DWRCST.exe [640800 2015-04-23] (SolarWinds) HKLM-x32\...\Run: [Dropbox] => C:\Program Files (x86)\Dropbox\Client\Dropbox.exe [3754168 2018-07-31] (Dropbox, Inc.) HKU\S-1-5-21-677995077-4285493199-1695948552-1263\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [27832264 2017-10-10] (Skype Technologies S.A.) HKU\S-1-5-21-677995077-4285493199-1695948552-1263\...\Run: [Skype for Desktop] => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe [49654728 2018-06-26] (Skype Technologies S.A.) HKU\S-1-5-21-677995077-4285493199-1695948552-1263\...\RunOnce: [Uninstall C:\Users\awojtysiak\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\awojtysiak\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64" HKU\S-1-5-18\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [27832264 2017-10-10] (Skype Technologies S.A.) IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe ==================== Internet (filtrowane) ==================== (Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.) ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona] ProxyServer: [.DEFAULT] => 127.0.0.1:1080 ProxyServer: [S-1-5-21-677995077-4285493199-1695948552-1263] => 127.0.0.1:1080 Tcpip\Parameters: [DhcpNameServer] 192.168.1.5 Tcpip\..\Interfaces\{43b14cc9-c606-4a7e-8f9f-0bd832cebf11}: [DhcpNameServer] 192.168.1.5 Internet Explorer: ================== BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation) BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation) BHO-x32: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files (x86)\Microsoft Office\Office16\GROOVEEX.DLL [2018-05-15] (Microsoft Corporation) Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2018-02-14] (Microsoft Corporation) Handler-x32: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2018-04-10] (Microsoft Corporation) Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2018-02-14] (Microsoft Corporation) Handler-x32: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2018-04-10] (Microsoft Corporation) FireFox: ======== FF DefaultProfile: 3m0lcmzj.default FF ProfilePath: C:\Users\awojtysiak\AppData\Roaming\Mozilla\Firefox\Profiles\3m0lcmzj.default [2018-08-02] FF Extension: (Brak nazwy) - C:\Program Files (x86)\Mozilla Firefox\browser\features\firefox@getpocket.com [2018-07-02] [Brak podpisu cyfrowego] FF Extension: (Brak nazwy) - C:\Program Files (x86)\Mozilla Firefox\browser\features\formautofill@mozilla.org [2018-07-02] [Brak podpisu cyfrowego] FF Extension: (Brak nazwy) - C:\Program Files (x86)\Mozilla Firefox\browser\features\onboarding@mozilla.org [2018-07-02] [Brak podpisu cyfrowego] FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office16\NPSPWRAP.DLL [2015-09-19] (Microsoft Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2017-11-01] (Adobe Systems Inc.) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2018-04-16] <==== UWAGA ==================== Usługi (filtrowane) ==================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) S2 dbupdate; C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe [143144 2016-10-20] (Dropbox, Inc.) S3 dbupdatem; C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe [143144 2016-10-20] (Dropbox, Inc.) R2 DbxSvc; C:\Windows\system32\DbxSvc.exe [51392 2018-07-31] (Dropbox, Inc.) R2 dwmrcs; C:\Windows\dwrcs\DWRCS.EXE [1471264 2015-04-23] (SolarWinds) R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [328608 2015-07-30] (Intel Corporation) R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6541008 2018-05-09] (Malwarebytes) R2 RtkAudioService; C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe [246488 2013-08-01] (Realtek Semiconductor) R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [364464 2016-10-25] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [24864 2017-09-05] (Microsoft Corporation) ===================== Sterowniki (filtrowane) ====================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) R1 DwMirror; C:\Windows\system32\DRIVERS\DamewareMini.sys [5632 2008-03-14] (DameWare Development, LLC) R1 dwvkbd; C:\Windows\system32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare) R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [152688 2018-06-19] (Malwarebytes) R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [191208 2018-08-02] (Malwarebytes) R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [114920 2018-08-02] (Malwarebytes) R3 MBAMProtection; C:\Windows\system32\DRIVERS\mbam.sys [48360 2018-08-02] (Malwarebytes) R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253664 2018-08-02] (Malwarebytes) R3 MBAMWebProtection; C:\Windows\system32\DRIVERS\mwac.sys [102632 2018-08-02] (Malwarebytes) R3 rt640x64; C:\Windows\System32\drivers\rt640x64.sys [896752 2015-08-07] (Realtek ) S0 WdBoot; C:\Windows\System32\drivers\WdBoot.sys [44568 2015-10-30] (Microsoft Corporation) R0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [293216 2015-10-30] (Microsoft Corporation) R3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [118112 2015-10-30] (Microsoft Corporation) ==================== NetSvcs (filtrowane) =================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ==================== Jeden miesiąc - utworzone pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2018-08-02 13:25 - 2018-08-02 13:25 - 000010028 _____ C:\FRST.txt 2018-08-02 13:21 - 2018-08-02 13:22 - 000102632 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys 2018-08-02 13:21 - 2018-08-02 13:21 - 000253664 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys 2018-08-02 13:21 - 2018-08-02 13:21 - 000191208 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys 2018-08-02 13:21 - 2018-08-02 13:21 - 000114920 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys 2018-08-02 13:21 - 2018-08-02 13:21 - 000048360 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys 2018-08-02 13:21 - 2018-08-02 13:21 - 000001912 _____ C:\Users\Public\Desktop\Malwarebytes.lnk 2018-08-02 13:21 - 2018-08-02 13:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes 2018-08-02 13:21 - 2018-08-02 13:21 - 000000000 ____D C:\ProgramData\Malwarebytes 2018-08-02 13:21 - 2018-08-02 13:21 - 000000000 ____D C:\Program Files\Malwarebytes 2018-08-02 13:21 - 2018-06-19 14:09 - 000152688 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys 2018-08-02 13:18 - 2018-08-02 13:18 - 000000664 __RSH C:\Users\awojtysiak\ntuser.pol 2018-08-02 13:18 - 2018-08-02 13:18 - 000000204 ___SH C:\Users\awojtysiak\ntuser.ini 2018-08-02 12:33 - 2018-08-02 12:33 - 002412544 _____ (Farbar) C:\FRST64.exe 2018-08-02 12:28 - 2018-08-02 13:25 - 000000000 ____D C:\FRST 2018-08-02 11:30 - 2018-08-02 11:33 - 000000000 ____D C:\AdwCleaner 2018-08-02 00:07 - 2018-08-02 13:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox 2018-08-01 14:52 - 2018-08-01 14:52 - 000000114 _____ C:\Windows\SysWOW64\DWRCCMDError.ini 2018-08-01 14:52 - 2018-08-01 14:52 - 000000000 ____D C:\Windows\dwrcs 2018-07-31 03:25 - 2018-07-31 03:25 - 000051392 _____ (Dropbox, Inc.) C:\Windows\system32\DbxSvc.exe 2018-07-31 03:25 - 2018-07-31 03:25 - 000050232 _____ (Dropbox, Inc.) C:\Windows\system32\Drivers\dbx-dev.sys 2018-07-31 03:25 - 2018-07-31 03:25 - 000050232 _____ (Dropbox, Inc.) C:\Windows\system32\Drivers\dbx-canary.sys 2018-07-31 03:25 - 2018-07-31 03:25 - 000045640 _____ (Dropbox, Inc.) C:\Windows\system32\Drivers\dbx-stable.sys ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2018-08-02 13:23 - 2016-07-25 09:01 - 001845594 _____ C:\Windows\system32\PerfStringBackup.INI 2018-08-02 13:23 - 2015-10-30 21:19 - 000817060 _____ C:\Windows\system32\perfh015.dat 2018-08-02 13:23 - 2015-10-30 21:19 - 000157764 _____ C:\Windows\system32\perfc015.dat 2018-08-02 13:23 - 2015-10-30 09:21 - 000000000 ____D C:\Windows\INF 2018-08-02 13:21 - 2017-01-09 11:07 - 000000000 ____D C:\Users\awojtysiak\AppData\LocalLow\Mozilla 2018-08-02 13:21 - 2016-07-25 09:36 - 000000000 ____D C:\Users\awojtysiak\AppData\Roaming\Skype 2018-08-02 13:18 - 2016-10-20 09:45 - 000001164 _____ C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job 2018-08-02 13:18 - 2016-07-25 09:33 - 000000000 __SHD C:\Users\awojtysiak\IntelGraphicsProfiles 2018-08-02 13:18 - 2016-07-25 09:21 - 000000000 ____D C:\Users\awojtysiak 2018-08-02 13:17 - 2017-01-12 10:48 - 000000000 ____D C:\Users\awojtysiak\AppData\LocalLow\Temp 2018-08-02 13:17 - 2016-07-25 08:58 - 000000112 _____ C:\Windows\system32\config\netlogon.ftl 2018-08-02 13:17 - 2016-07-25 08:52 - 000000006 ____H C:\Windows\Tasks\SA.DAT 2018-08-02 13:17 - 2015-10-30 08:28 - 000786432 ___SH C:\Windows\system32\config\BBI 2018-08-02 13:16 - 2016-07-25 09:26 - 000000000 ____D C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu 2018-08-02 13:13 - 2017-03-08 14:25 - 000000000 ____D C:\Archiwum 2018-08-02 13:06 - 2016-10-20 09:45 - 000001168 _____ C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job 2018-08-02 12:27 - 2015-10-30 09:24 - 000000000 ___HD C:\Program Files\WindowsApps 2018-08-02 12:27 - 2015-10-30 09:24 - 000000000 ____D C:\Windows\AppReadiness 2018-08-02 12:14 - 2015-10-30 09:24 - 000000000 ____D C:\Windows\system32\NDF 2018-08-02 10:43 - 2016-10-03 12:46 - 000000000 _____ C:\Users\awojtysiak\Documents\ProliderPDF 2018-08-02 00:08 - 2016-10-20 09:45 - 000000000 ____D C:\Program Files (x86)\Dropbox 2018-08-01 14:12 - 2016-07-25 09:26 - 000079483 _____ C:\Users\awojtysiak\Desktop\Stan blachy na magazynie i produkcji 31.07.2018.xlsx 2018-08-01 12:18 - 2016-07-25 09:26 - 000010679 _____ C:\Users\awojtysiak\Desktop\Stock HRT.xlsx 2018-08-01 12:14 - 2016-07-25 09:26 - 000080796 _____ C:\Users\awojtysiak\Desktop\Zestawienie złomu.xlsx 2018-07-31 15:03 - 2017-03-22 11:09 - 000000000 ____D C:\pobrane 2018-07-30 17:50 - 2017-07-18 06:47 - 000003362 _____ C:\Windows\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-677995077-4285493199-1695948552-1263 2018-07-30 17:50 - 2016-07-25 09:22 - 000002422 _____ C:\Users\awojtysiak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk 2018-07-30 17:50 - 2016-07-25 09:22 - 000000000 ___RD C:\Users\awojtysiak\OneDrive 2018-07-30 13:09 - 2017-05-10 13:12 - 002269184 _____ C:\Users\awojtysiak\Desktop\Naklejki_Magazyn.mdb 2018-07-30 06:46 - 2016-07-25 09:36 - 000001379 _____ C:\Users\Public\Desktop\Skype.lnk 2018-07-30 06:46 - 2016-07-25 09:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype 2018-07-17 03:01 - 2016-07-26 06:36 - 000000000 ____D C:\Windows\system32\MRT 2018-07-17 03:01 - 2015-10-30 09:24 - 000000000 ____D C:\Program Files\Common Files\microsoft shared 2018-07-17 03:00 - 2016-07-26 06:36 - 134675576 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe 2018-07-16 06:43 - 2016-07-25 09:36 - 000000000 ___RD C:\Program Files (x86)\Skype 2018-07-10 06:34 - 2016-07-29 06:31 - 000004562 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task ==================== Bamital & volsnap ====================== (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\Windows\system32\winlogon.exe => Plik podpisany cyfrowo C:\Windows\system32\wininit.exe => Plik podpisany cyfrowo C:\Windows\explorer.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\explorer.exe => Plik podpisany cyfrowo C:\Windows\system32\svchost.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\svchost.exe => Plik podpisany cyfrowo C:\Windows\system32\services.exe => Plik podpisany cyfrowo C:\Windows\system32\User32.dll => Plik podpisany cyfrowo C:\Windows\SysWOW64\User32.dll => Plik podpisany cyfrowo C:\Windows\system32\userinit.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\userinit.exe => Plik podpisany cyfrowo C:\Windows\system32\rpcss.dll => Plik podpisany cyfrowo C:\Windows\system32\dnsapi.dll => Plik podpisany cyfrowo C:\Windows\SysWOW64\dnsapi.dll => Plik podpisany cyfrowo C:\Windows\system32\Drivers\volsnap.sys => Plik podpisany cyfrowo LastRegBack: 2018-07-26 03:01 ==================== Koniec FRST.txt ============================