Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 27-01-2020 Uruchomiony przez user (28-01-2020 00:07:07) Run:1 Uruchomiony z C:\Users\user\Downloads Załadowane profile: user (Dostępne profile: user) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** DeleteKey: HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet DeleteKey: HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% FirewallRules: [{1F9811EE-EDDC-4495-947B-891EF08FCD62}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] C:\Windows\rss\csrss.exe HKLM\...\RunOnce: [uikda5zld3n] => C:\Program Files (x86)\Ticker\5525341.exe [479232 2020-01-26] () [Brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Ticker HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [6548709] => C:\Users\user\AppData\Roaming\qaurvgz1uui\2wm3u0dl1mj.exe [574934 2020-01-26] ( ) [Brak podpisu cyfrowego] HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [WG9C4RAQ04LEUEI] => C:\Program Files\QF28OZMIGL\QF28OZMIG.exe [1005568 2020-01-26] (HFKUZ) [Brak podpisu cyfrowego] HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [FrostyWater] => C:\Windows\rss\csrss.exe [3933696 2020-01-26] () [Brak podpisu cyfrowego] <==== UWAGA HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [CloudNet] => C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-01-27] (EpicNet Inc.) [Brak podpisu cyfrowego] RemoveDirectory: C:\Program Files\QF28OZMIGL RemoveDirectory: C:\Users\user\AppData\Roaming\qaurvgz1uui RemoveDirectory: C:\ProgramData\Voyasollam AppInit_DLLs: C:\ProgramData\Voyasollam\SaoJob.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Alphala.dll => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA Task: {1D682ADF-0A4B-4612-9ABC-3E004309492B} - System32\Tasks\{829A9603-F49E-458D-B4D8-58CC4C8C96C3} => C:\Windows\system32\pcalua.exe -a "C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall Task: {3183AA0E-C225-43F2-8C83-4818436A6227} - System32\Tasks\{24EBC781-1678-4461-9B11-AE9D49660390} => C:\Windows\system32\pcalua.exe -a "C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall Task: {9C608D0D-C408-459B-9DB3-519D423FEB41} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3933696 2020-01-26] () [Brak podpisu cyfrowego] <==== UWAGA HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-DqZgx189xRt_5doxY4xPMZAtBp5QUw1_moo59G8RH98fc1sH0YcZhKhSAK6IxePVyHZUl7LvZ_4ii2ReOXyLtQCqNLOXrjwC7HjVa0i8vmqwBC4C6up1we0swwJsMSu7FaSPAxVkSN_YduPsgRZGtcohJQeA,,&q={searchTerms} HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-DqZgx189xRt_5doxY4xPMZAtBp5QUw1_moo59G8RH98fc1sH0YcZhKhSAK6IxePVyLopSYjpaIJVKfselANCEEwjLUI4jzbESYMikv2WUZY4ahXRbhCVMwJMXwcXiQTAyvDKQMcnwaWgTzqIK3-wDGSgnMng,, R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== UWAGA (zerobajtowy plik/folder) 2020-01-26 23:37 - 2020-01-26 23:37 - 001895382 _____ C:\Users\user\AppData\Local\Apdox.bin 2020-01-26 23:37 - 2020-01-26 23:37 - 000000000 ____D C:\Users\user\AppData\LocalLow\TrashCan 2020-01-26 23:36 - 2020-01-26 23:36 - 008465920 _____ C:\Users\user\AppData\Local\agent.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 002158640 _____ C:\Users\user\AppData\Local\Namfind.tst 2020-01-26 23:36 - 2020-01-26 23:36 - 000126464 _____ C:\Users\user\AppData\Local\noah.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000126464 _____ C:\Users\user\AppData\Local\lobby.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000070992 _____ C:\Users\user\AppData\Local\Config.xml 2020-01-26 23:36 - 2020-01-26 23:36 - 000068250 _____ C:\Users\user\AppData\Local\Labdex.tst 2020-01-26 23:36 - 2020-01-26 23:36 - 000044032 _____ C:\Users\user\AppData\Local\ApplicationHosting.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000005568 _____ C:\Users\user\AppData\Local\md.xml 2020-01-26 23:36 - 2020-01-26 23:35 - 001767424 _____ C:\Users\user\AppData\Local\Namfind.exe 2020-01-26 23:36 - 2020-01-26 23:35 - 001767424 _____ C:\Users\user\AppData\Local\Labdex.exe 2020-01-26 23:35 - 2020-01-26 23:35 - 000140800 _____ C:\Users\user\AppData\Local\installer.dat 2020-01-26 23:34 - 2020-01-26 23:35 - 000000000 ____D C:\Program Files\QF28OZMIGL 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Users\user\AppData\Roaming\qaurvgz1uui 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Users\user\AppData\Roaming\Python 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Program Files (x86)\Ticker Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: ***************** HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet => pomyślnie usunięto "HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet" => nie znaleziono C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Skrót - argument pomyślnie usunięto C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => Skrót - argument pomyślnie usunięto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Skrót - argument pomyślnie usunięto "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{1F9811EE-EDDC-4495-947B-891EF08FCD62}" => pomyślnie usunięto C:\Windows\rss\csrss.exe => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\uikda5zld3n" => pomyślnie usunięto "C:\Program Files (x86)\Ticker" => pomyślnie usunięto "HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Windows\CurrentVersion\Run\\6548709" => pomyślnie usunięto "HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Windows\CurrentVersion\Run\\WG9C4RAQ04LEUEI" => pomyślnie usunięto "HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Windows\CurrentVersion\Run\\FrostyWater" => pomyślnie usunięto "HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => pomyślnie usunięto niepowodzenie przy usuwaniu "C:\Program Files\QF28OZMIGL\QF28OZMIG.exe" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Program Files\QF28OZMIGL" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\user\AppData\Roaming\qaurvgz1uui\2wm3u0dl1mj.exe" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\user\AppData\Roaming\qaurvgz1uui" => Zaplanowany do usunięcia przy restarcie. "C:\ProgramData\Voyasollam" => nie znaleziono "C:\ProgramData\Voyasollam\SaoJob.dll" => Dane wartości pomyślnie usunięto "C:\ProgramData\Voyasollam\Alphala.dll" => Dane wartości pomyślnie usunięto HKLM\SOFTWARE\Policies\Google => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1D682ADF-0A4B-4612-9ABC-3E004309492B}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1D682ADF-0A4B-4612-9ABC-3E004309492B}" => pomyślnie usunięto C:\Windows\System32\Tasks\{829A9603-F49E-458D-B4D8-58CC4C8C96C3} => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{829A9603-F49E-458D-B4D8-58CC4C8C96C3}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3183AA0E-C225-43F2-8C83-4818436A6227}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3183AA0E-C225-43F2-8C83-4818436A6227}" => pomyślnie usunięto C:\Windows\System32\Tasks\{24EBC781-1678-4461-9B11-AE9D49660390} => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{24EBC781-1678-4461-9B11-AE9D49660390}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9C608D0D-C408-459B-9DB3-519D423FEB41}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9C608D0D-C408-459B-9DB3-519D423FEB41}" => pomyślnie usunięto C:\Windows\System32\Tasks\csrss => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => pomyślnie usunięto HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main\\"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" => Wartość pomyślnie przywrócono HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main\\"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" => Wartość pomyślnie przywrócono WinDefender => Nie można zatrzymać usługi. HKLM\System\CurrentControlSet\Services\WinDefender => pomyślnie usunięto WinDefender => serwis pomyślnie usunięto C:\Users\user\AppData\Local\Apdox.bin => pomyślnie przeniesiono C:\Users\user\AppData\LocalLow\TrashCan => pomyślnie przeniesiono C:\Users\user\AppData\Local\agent.dat => pomyślnie przeniesiono C:\Users\user\AppData\Local\Namfind.tst => pomyślnie przeniesiono C:\Users\user\AppData\Local\noah.dat => pomyślnie przeniesiono C:\Users\user\AppData\Local\lobby.dat => pomyślnie przeniesiono C:\Users\user\AppData\Local\Config.xml => pomyślnie przeniesiono C:\Users\user\AppData\Local\Labdex.tst => pomyślnie przeniesiono C:\Users\user\AppData\Local\ApplicationHosting.dat => pomyślnie przeniesiono C:\Users\user\AppData\Local\md.xml => pomyślnie przeniesiono C:\Users\user\AppData\Local\Namfind.exe => pomyślnie przeniesiono C:\Users\user\AppData\Local\Labdex.exe => pomyślnie przeniesiono C:\Users\user\AppData\Local\installer.dat => pomyślnie przeniesiono C:\Program Files\QF28OZMIGL => pomyślnie przeniesiono "C:\Users\user\AppData\Roaming\qaurvgz1uui" folder - przenoszenie: Nie można przenieść "C:\Users\user\AppData\Roaming\qaurvgz1uui" => Zaplanowany do przeniesienia przy restarcie. C:\Users\user\AppData\Roaming\Python => pomyślnie przeniesiono "C:\Program Files (x86)\Ticker" => nie znaleziono ========= wevtutil el | Foreach-Object {wevtutil cl "$_"} ========= ========= Koniec Powershell: ========= =========== EmptyTemp: ========== BITS transfer queue => 8388608 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12391332 B Java, Flash, Steam htmlcache => 0 B Windows/system/drivers => 600568834 B Edge => 0 B Chrome => 432828967 B Firefox => 0 B Opera => 0 B Temp, IE cache, history, cookies, recent: Users => 0 B Default => 0 B Public => 0 B ProgramData => 0 B systemprofile => 124627 B systemprofile32 => 190855 B LocalService => 323099 B NetworkService => 338445 B user => 402165848 B RecycleBin => 0 B EmptyTemp: => 1.4 GB danych tymczasowych Usunięto. ================================ Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 28-01-2020 00:09:14) C:\Users\user\AppData\Roaming\qaurvgz1uui => został pomyślnie przeniesiony "C:\Program Files\QF28OZMIGL\QF28OZMIG.exe" => pomyślnie usunięto "C:\Program Files\QF28OZMIGL" => pomyślnie usunięto "C:\Users\user\AppData\Roaming\qaurvgz1uui\2wm3u0dl1mj.exe" => pomyślnie usunięto "C:\Users\user\AppData\Roaming\qaurvgz1uui" => pomyślnie usunięto ==== Koniec Fixlog 00:09:14 ====