Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x64) Wersja: 31-03-2021 Uruchomiony przez rozog (01-04-2021 15:03:36) Uruchomiony z C:\Users\rozog\Downloads Windows 10 Home Wersja 20H2 19042.631 (X64) (2021-03-31 06:14:21) Tryb startu: Normal ========================================================== ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3133877547-2131094937-589419719-500 - Administrator - Disabled) Gość (S-1-5-21-3133877547-2131094937-589419719-501 - Limited - Disabled) Konto domyślne (S-1-5-21-3133877547-2131094937-589419719-503 - Limited - Disabled) rozog (S-1-5-21-3133877547-2131094937-589419719-1001 - Administrator - Enabled) => C:\Users\rozog WDAGUtilityAccount (S-1-5-21-3133877547-2131094937-589419719-504 - Limited - Disabled) ==================== Centrum zabezpieczeń ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie.) AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AV: Avast Antivirus (Enabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF} AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B} ==================== Zainstalowane programy ====================== (W fixlist dozwolone tylko załączanie programów adware z flagą "Hidden" w celu ich uwidocznienia. Programy adware powinny zostać w poprawny sposób odinstalowane.) 7-Zip 19.00 (x64) (HKLM\...\7-Zip) (Version: 19.00 - Igor Pavlov) Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 21.2.2455 - Avast Software) Cisco Webex Meetings (HKU\S-1-5-21-3133877547-2131094937-589419719-1001\...\ActiveTouchMeetingClient) (Version: 41.4.1 - Cisco Webex LLC) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 89.0.4389.114 - Google LLC) Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 20.19.15.5126 - Intel Corporation) Malwarebytes version 4.3.0.98 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.3.0.98 - Malwarebytes) Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 84.0.522.52 - Microsoft Corporation) Microsoft Office Professional Plus 2016 - pl-pl (HKLM\...\ProplusRetail - pl-pl) (Version: 16.0.8625.2127 - Microsoft Corporation) Office 16 Click-to-Run Extensibility Component (HKLM\...\{90160000-008C-0000-1000-0000000FF1CE}) (Version: 16.0.8625.2127 - Microsoft Corporation) Hidden Office 16 Click-to-Run Licensing Component (HKLM\...\{90160000-007E-0000-1000-0000000FF1CE}) (Version: 16.0.8625.2127 - Microsoft Corporation) Hidden Office 16 Click-to-Run Localization Component (HKLM\...\{90160000-008C-0415-1000-0000000FF1CE}) (Version: 16.0.8326.2076 - Microsoft Corporation) Hidden Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 19.0.19.63 - Synaptics Incorporated) Packages: ========= Cortana -> C:\Program Files\WindowsApps\Microsoft.549981C3F5F10_1.1911.21713.0_x64__8wekyb3d8bbwe [2019-12-07] (Microsoft Corporation) Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1808.3.0_x64__8wekyb3d8bbwe [2019-12-07] (Microsoft Corporation) [MS Ad] Microsoft To Do -> C:\Program Files\WindowsApps\Microsoft.Todos_2.41.4902.0_x64__8wekyb3d8bbwe [2021-04-01] (Microsoft Corporation) [Startup Task] MSN Pogoda -> C:\Program Files\WindowsApps\Microsoft.BingWeather_4.25.20211.0_x64__8wekyb3d8bbwe [2019-12-07] (Microsoft Corporation) [MS Ad] Poczta i Kalendarz -> C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11629.20316.0_x64__8wekyb3d8bbwe [2019-12-07] (Microsoft Corporation) [MS Ad] Skype -> C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c [2019-12-07] (Skype) Twój telefon -> C:\Program Files\WindowsApps\Microsoft.YourPhone_0.19051.7.0_x64__8wekyb3d8bbwe [2019-12-07] (Microsoft Corporation) ==================== Niestandardowe rejestracje CLSID (filtrowane): ============== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\Avast Software\Avast\ashShell.dll [2021-04-01] (Avast Software s.r.o. -> AVAST Software) ShellIconOverlayIdentifiers-x32: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\Avast Software\Avast\ashShell.dll [2021-04-01] (Avast Software s.r.o. -> AVAST Software) ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2019-02-21] (Igor Pavlov) [Brak podpisu cyfrowego] ContextMenuHandlers1: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\Avast Software\Avast\ashShell.dll [2021-04-01] (Avast Software s.r.o. -> AVAST Software) ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\Avast Software\Avast\ashShell.dll [2021-04-01] (Avast Software s.r.o. -> AVAST Software) ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2021-04-01] (Malwarebytes Corporation -> Malwarebytes) ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2019-02-21] (Igor Pavlov) [Brak podpisu cyfrowego] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\Windows\system32\igfxDTCM.dll [2020-06-04] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation) ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2019-02-21] (Igor Pavlov) [Brak podpisu cyfrowego] ContextMenuHandlers6: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\Avast Software\Avast\ashShell.dll [2021-04-01] (Avast Software s.r.o. -> AVAST Software) ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2021-04-01] (Malwarebytes Corporation -> Malwarebytes) ==================== Codecs (filtrowane) ==================== ==================== Skróty & WMI ======================== ==================== Załadowane moduły (filtrowane) ============= 2021-04-01 12:32 - 2019-02-21 18:00 - 000078336 _____ (Igor Pavlov) [Brak podpisu cyfrowego] C:\Program Files\7-Zip\7-zip.dll ==================== Alternate Data Streams (filtrowane) ======== ==================== Tryb awaryjny (filtrowane) ================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Wartość "AlternateShell" zostanie przywrócona.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aswSP.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aswSP.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" ==================== Powiązania plików (filtrowane) ================= ==================== Internet Explorer (filtrowane) ========== BHO-x32: Lync Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\OCHelper.dll [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler-x32: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler-x32: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler-x32: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) Handler-x32: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL [2021-04-01] (Microsoft Corporation -> Microsoft Corporation) ==================== Hosts - zawartość: ========================= (Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.) 2019-12-07 11:14 - 2019-12-07 11:12 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts ==================== Inne obszary =========================== (Obecnie brak automatycznej naprawy dla tej sekcji.) HKU\S-1-5-21-3133877547-2131094937-589419719-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg DNS Servers: 91.236.4.253 - 91.233.204.78 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: ) Zapora systemu Windows [funkcja włączona] ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == ==================== Reguły Zapory systemu Windows (filtrowane) ================ (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) FirewallRules: [{FAE0C240-5839-4906-B346-2FEFD57CCA0C}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC) ==================== Punkty Przywracania systemu ========================= UWAGA: Przywracanie systemu jest wyłączone (Total:237.92 GB) (Free:203.26 GB) (85%) ==================== Wadliwe urządzenia w Menedżerze urządzeń ============ Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler PCI Simple Communications Description: Kontroler PCI Simple Communications Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Błędy w Dzienniku zdarzeń: ======================== Dziennik Aplikacja: ================== Error: (04/01/2021 08:45:30 AM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x800704CF Argumenty wiersza polecenia: RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2b1f36bb-c1cd-4306-bf5c-a0367c2d97d8;NotificationInterval=1440;Trigger=TimerEvent Error: (03/31/2021 08:14:12 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -1409. Dziennik System: ============= Error: (04/01/2021 11:58:38 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Intel(R) Content Protection HECI Service zakończyła działanie; wystąpił następujący błąd: %%2147942659 = Brak dalszych danych. Error: (03/31/2021 08:12:12 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa netprofm zakończyła działanie; wystąpił następujący błąd: Urządzenie nie jest gotowe. Windows Defender: ================ Date: 2021-04-01 14:53:55 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0 Nazwa: HackTool:Win32/AutoKMS Identyfikator: 2147685180 Ważność: Wysoki Kategoria: Narzędzie Ścieżka: containerfile:_C:\Users\rozog\Downloads\Office_2016_16.0.8625.2127_.iso; file:_C:\Users\rozog\Downloads\Office_2016_16.0.8625.2127_.iso->\Setup.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne Źródło wykrycia: Użytkownik Użytkownik: DESKTOP-54VN5F5\rozog Nazwa procesu: Unknown Wersja analizy zabezpieczeń: AV: 1.333.1761.0, AS: 1.333.1761.0, NIS: 1.333.1761.0 Wersja aparatu: AM: 1.1.17900.7, NIS: 1.1.17900.7 Date: 2021-04-01 14:51:47 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Phonzy.A!ml&threatid=2147772966&enterprise=0 Nazwa: Trojan:Script/Phonzy.A!ml Identyfikator: 2147772966 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\Users\rozog\Downloads\FRST.exe; webfile:_C:\Users\rozog\Downloads\FRST.exe|https://download.bleepingcomputer.com/dl/9baa60ff2d6e89fbdcbffd7951590236/6065c1a9/windows/security/security-utilities/f/farbar-recovery-scan-tool/FRST.exe|pid:2600,ProcessStart:132617550938486262 Pochodzenie wykrycia: Internet Typ wykrycia: FastPath Źródło wykrycia: Pobrania i załączniki Użytkownik: DESKTOP-54VN5F5\rozog Nazwa procesu: Unknown Wersja analizy zabezpieczeń: AV: 1.333.1761.0, AS: 1.333.1761.0, NIS: 1.333.1761.0 Wersja aparatu: AM: 1.1.17900.7, NIS: 1.1.17900.7 Date: 2021-04-01 14:04:06 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:MSIL/CoinMiner.S!MTB&threatid=2147751418&enterprise=0 Nazwa: Trojan:MSIL/CoinMiner.S!MTB Identyfikator: 2147751418 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\Users\rozog\AppData\Roaming\Services.exe; regkey:_HKCU@S-1-5-21-3133877547-2131094937-589419719-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Services.exe; runkey:_HKCU@S-1-5-21-3133877547-2131094937-589419719-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Services.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-54VN5F5\rozog Nazwa procesu: C:\Windows\explorer.exe Wersja analizy zabezpieczeń: AV: 1.333.1761.0, AS: 1.333.1761.0, NIS: 1.333.1761.0 Wersja aparatu: AM: 1.1.17900.7, NIS: 1.1.17900.7 Date: 2021-04-01 14:03:46 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:MSIL/CoinMiner.S!MTB&threatid=2147751418&enterprise=0 Nazwa: Trojan:MSIL/CoinMiner.S!MTB Identyfikator: 2147751418 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\Users\rozog\AppData\Roaming\Services.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-54VN5F5\rozog Nazwa procesu: C:\Windows\explorer.exe Wersja analizy zabezpieczeń: AV: 1.333.1761.0, AS: 1.333.1761.0, NIS: 1.333.1761.0 Wersja aparatu: AM: 1.1.17900.7, NIS: 1.1.17900.7 Date: 2021-04-01 13:10:16 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:VBS/AutoKMS&threatid=2147727612&enterprise=0 Nazwa: HackTool:VBS/AutoKMS Identyfikator: 2147727612 Ważność: Wysoki Kategoria: Narzędzie Ścieżka: file:_C:\Windows\Temp\files\ospp.vbs Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-54VN5F5\rozog Nazwa procesu: C:\Windows\System32\cscript.exe Wersja analizy zabezpieczeń: AV: 1.303.25.0, AS: 1.303.25.0, NIS: 1.303.25.0 Wersja aparatu: AM: 1.1.16400.2, NIS: 1.1.16400.2  CodeIntegrity: =============== Date: 2021-04-01 14:59:08 Description: Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\Avast Software\Avast\aswhook.dll that did not meet the Microsoft signing level requirements. ==================== Statystyki pamięci =========================== BIOS: Hewlett-Packard L73 Ver. 01.09 01/24/2014 Płyta główna: Hewlett-Packard 1946 Procesor: Intel(R) Core(TM) i5-4300U CPU @ 1.90GHz Procent pamięci w użyciu: 64% Całkowita pamięć fizyczna: 8073.11 MB Dostępna pamięć fizyczna: 2849.85 MB Całkowita pamięć wirtualna: 9993.11 MB Dostępna pamięć wirtualna: 4374 MB ==================== Dyski ================================ Drive c: () (Fixed) (Total:237.92 GB) (Free:203.26 GB) NTFS Drive d: (16.0.8625.2127_) (CDROM) (Total:1.68 GB) (Free:0 GB) UDF \\?\Volume{04aad789-0000-0000-0000-100000000000}\ (Zastrzeżone przez system) (Fixed) (Total:0.05 GB) (Free:0.02 GB) NTFS \\?\Volume{04aad789-0000-0000-0000-707e3b000000}\ () (Fixed) (Total:0.5 GB) (Free:0.08 GB) NTFS ==================== MBR & Tablica partycji ==================== ========================================================== Disk: 0 (MBR Code: Windows 7/8/10) (Size: 238.5 GB) (Disk ID: 04AAD789) Partition 1: (Active) - (Size=50 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=237.9 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=509 MB) - (Type=27) ==================== Koniec Addition.txt =======================