Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 26-01-2022 Uruchomiony przez ryho (28-01-2022 17:04:14) Run:1 Uruchomiony z C:\Users\ryho\Downloads Załadowane profile: ryho Tryb startu: Normal ============================================== fixlist - zawartość: ***************** C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe RemoveDirectory: C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-host RemoveDirectory: C:\Users\ryho\AppData\Roaming\.dllbackups RemoveDirectory: C:\Users\ryho\AppData\Roaming\dllservices Task: {9B5788A4-59E6-450B-97FE-651E99F03B04} - System32\Tasks\PowerENGAGE => Command(1): msiexec -> /f {400A01BF-E908-4393-BD39-31E386377BDA} /quiet /qn Task: {9B5788A4-59E6-450B-97FE-651E99F03B04} - System32\Tasks\PowerENGAGE => Command(2): PowerENGAGE.exe -> scheduled-run FirewallRules: [TCP Query User{16BE0ADA-188D-4F39-82AD-4B641A4F0C17}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe] => (Block) C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe (Microsoft Corporation) [Brak podpisu cyfrowego] FirewallRules: [UDP Query User{8EEF8452-2D69-48F2-859D-EC0974A63B9E}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe] => (Block) C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe (Microsoft Corporation) [Brak podpisu cyfrowego] HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Brak pliku) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA hKU\S-1-5-21-1367152738-2495264418-1203898016-1001\...\Run: [electron.app.dllservices] => C:\Users\ryho\AppData\Roaming\.dllbackups\dllservices.exe [63924677 2022-01-14] (Microsoft Corporation) [Brak podpisu cyfrowego] [Plik w użyciu] <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: ***************** Nie można przenieść "C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe" => Zaplanowany do przeniesienia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-host" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\.dllbackups\dllservices.exe" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\.dllbackups" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\dllservices\lockfile" => Zaplanowany do usunięcia przy restarcie. niepowodzenie przy usuwaniu "C:\Users\ryho\AppData\Roaming\dllservices" => Zaplanowany do usunięcia przy restarcie. "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9B5788A4-59E6-450B-97FE-651E99F03B04}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B5788A4-59E6-450B-97FE-651E99F03B04}" => pomyślnie usunięto C:\Windows\System32\Tasks\PowerENGAGE => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerENGAGE" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B5788A4-59E6-450B-97FE-651E99F03B04}" => nie znaleziono "C:\Windows\System32\Tasks\PowerENGAGE" => nie znaleziono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerENGAGE" => nie znaleziono "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{16BE0ADA-188D-4F39-82AD-4B641A4F0C17}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe" => pomyślnie usunięto "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{8EEF8452-2D69-48F2-859D-EC0974A63B9E}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe" => pomyślnie usunięto "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe" => pomyślnie usunięto HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => niepowodzenie przy usuwaniu, klucz może być zabezpieczony "HKU\S-1-5-21-1367152738-2495264418-1203898016-1001\Software\Microsoft\Windows\CurrentVersion\Run\\electron.app.dllservices" => pomyślnie usunięto ========= wevtutil el | Foreach-Object {wevtutil cl "$_"} ========= wevtutil : Failed to clear log Intel-SST-CFD-HDA/IntelSST. At C:\FRST\tmp.ps1:1 char:31 + wevtutil el | Foreach-Object {wevtutil cl "$_"} + ~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Failed to clear...D-HDA/IntelSST.:String) [], RemoteException + FullyQualifiedErrorId : NativeCommandError Przekazana nazwa wyst╣pienia nie zosta│a uznana przez dostawcŕ danych WMI za prawid│ow╣. wevtutil : Failed to clear log Microsoft-Windows-LiveId/Analytic. At C:\FRST\tmp.ps1:1 char:31 + wevtutil el | Foreach-Object {wevtutil cl "$_"} + ~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Failed to clear...iveId/Analytic.:String) [], RemoteException + FullyQualifiedErrorId : NativeCommandError Odmowa dostŕpu. wevtutil : Failed to clear log Microsoft-Windows-LiveId/Operational. At C:\FRST\tmp.ps1:1 char:31 + wevtutil el | Foreach-Object {wevtutil cl "$_"} + ~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Failed to clear...Id/Operational.:String) [], RemoteException + FullyQualifiedErrorId : NativeCommandError Odmowa dostŕpu. wevtutil : Failed to clear log Microsoft-Windows-USBVideo/Analytic. At C:\FRST\tmp.ps1:1 char:31 + wevtutil el | Foreach-Object {wevtutil cl "$_"} + ~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Failed to clear...Video/Analytic.:String) [], RemoteException + FullyQualifiedErrorId : NativeCommandError Przekazana nazwa wyst╣pienia nie zosta│a uznana przez dostawcŕ danych WMI za prawid│ow╣. ========= Koniec Powershell: ========= =========== EmptyTemp: ========== BITS transfer queue => 1572864 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 484827444 B Java, Flash, Steam htmlcache => 0 B Windows/system/drivers => 622116 B Edge => 0 B Chrome => 634874632 B Brave => 626559228 B Firefox => 0 B Opera => 0 B Temp, IE cache, history, cookies, recent: Default => 0 B ProgramData => 0 B Public => 0 B systemprofile => 0 B systemprofile32 => 0 B LocalService => 2464 B NetworkService => 56404 B ryho => 766972168 B RecycleBin => 6980843 B EmptyTemp: => 2.3 GB danych tymczasowych Usunięto. ================================ Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 28-01-2022 17:19:46) C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe => został pomyślnie przeniesiony "C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-host" => pomyślnie usunięto "C:\Users\ryho\AppData\Roaming\.dllbackups\dllservices.exe" => pomyślnie usunięto "C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe" => pomyślnie usunięto "C:\Users\ryho\AppData\Roaming\.dllbackups" => pomyślnie usunięto "C:\Users\ryho\AppData\Roaming\dllservices\lockfile" => pomyślnie usunięto "C:\Users\ryho\AppData\Roaming\dllservices" => pomyślnie usunięto Rezultat usuwania kluczy przy restarcie: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => niepowodzenie przy usuwaniu, klucz może być zabezpieczony ==== Koniec Fixlog 17:19:46 ====