Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x86) Wersja:05-03-2016 01 Uruchomiony przez Admin (administrator) MITQL (11-03-2016 18:43:05) Uruchomiony z C:\Documents and Settings\Admin\Pulpit Załadowane profile: Admin (Dostępne profile: Admin & Administrator) Platform: Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) Język: Polski Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) Tryb startu: Normal Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Procesy (filtrowane) ================= (Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.) (ESET) C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) C:\WINDOWS\system32\igfxtray.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe (Realtek Semiconductor Corp.) C:\DOCUME~1\Admin\USTAWI~1\temp\RtkBtMnt.exe (TeamViewer GmbH) C:\DOCUME~1\Admin\USTAWI~1\temp\TeamViewer\Version7\TeamViewer.exe (TeamViewer GmbH) C:\DOCUME~1\Admin\USTAWI~1\temp\TeamViewer\Version7\tv_w32.exe (TeamViewer GmbH) C:\DOCUME~1\Admin\USTAWI~1\temp\TeamViewer\Version7\TeamViewer_Desktop.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe ==================== Rejestr (filtrowane) =========================== (Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.) HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [20145368 2013-10-04] (Realtek Semiconductor Corp.) HKLM\...\Run: [IAAnotif] => C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [174872 2007-03-21] (Intel Corporation) HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA ==================== Internet (filtrowane) ==================== (Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.) Tcpip\Parameters: [DhcpNameServer] 31.3.244.139 31.3.244.131 Tcpip\..\Interfaces\{430BD50E-5D83-421B-AEC7-D4A8304482B2}: [DhcpNameServer] 31.3.244.139 31.3.244.131 Internet Explorer: ================== HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SK2M&ocid=SK2MDHP&osmkt=pl-pl SearchScopes: HKU\S-1-5-21-1220945662-1035525444-1417001333-1004 -> {EF62C611-4EFB-477C-AD78-6B4675496539} URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> D:\program files\Microsoft Office\Office14\URLREDIR.DLL [2010-01-16] (Microsoft Corporation) DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com/bin/srldetect_intel_4.5.22.0.cab Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll [2014-05-02] (Skype Technologies) FireFox: ======== FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32_16_0_0_296.dll [2015-01-31] () FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> D:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> D:\PROGRA~1\MICROS~1\Office14\NPSPWRAP.DLL [2010-01-09] (Microsoft Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-01] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-01] (Google Inc.) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-08-05] (Adobe Systems Inc.) FF Plugin HKU\S-1-5-21-1220945662-1035525444-1417001333-1004: BearSharePlugin -> C:\Program Files\BearShare Applications\BearShare\npBearSharePlugin.dll [Brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-04-19] [Brak podpisu cyfrowego] Chrome: ======= CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=166 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=166" CHR Plugin: (Widevine Content Decryption Module) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\WidevineCDM\1.4.6.758\_platform_specific\win_x86\widevinecdmadapter.dll => Brak pliku CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\PepperFlash\16.0.0.305\pepflashplayer.dll => Brak pliku CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\48.0.2564.116\pdf.dll => Brak pliku CHR Plugin: (Microsoft® DRM) - C:\Program Files\Windows Media Player\npdrmv2.dll (Microsoft Corporation) CHR Plugin: (Windows Media Player Plug-in Dynamic Link Library) - C:\Program Files\Windows Media Player\npdsplay.dll (Microsoft Corporation (written by Digital Renaissance Inc.)) CHR Plugin: (Microsoft® DRM) - C:\Program Files\Windows Media Player\npwmsdrm.dll (Microsoft Corporation) CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) CHR Plugin: (BearShare plugin) - C:\Program Files\BearShare Applications\BearShare\npBearSharePlugin.dll => Brak pliku CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll => Brak pliku CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) CHR Plugin: (Windows Presentation Foundation) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_16_0_0_296.dll () CHR Plugin: (Microsoft Office 2010) - D:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation) CHR Plugin: (Microsoft Office 2010) - D:\PROGRA~1\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation) CHR Profile: C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default CHR Extension: (Magic Actions for YouTube™) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\abjcfabbhafbcdfjoecdgepllmpfceif [2016-02-11] CHR Extension: (uBlock Origin) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2016-03-07] CHR Extension: (Dokumenty Google offline) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-19] CHR Extension: (Smooth Scrollerator) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lmicgfcegednlkdhgbhgickcgndjeeig [2014-04-20] ==================== Usługi (filtrowane) ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) R2 ekrn; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [1983264 2016-02-22] (ESET) S4 MBAMService; C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe [1135416 2015-10-05] (Malwarebytes) ===================== Sterowniki (filtrowane) ========================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R3 BCM43XX; C:\WINDOWS\System32\DRIVERS\bcmwl5.sys [604928 2006-10-13] (Broadcom Corporation) S3 cpudrv; C:\Program Files\SystemRequirementsLab\cpudrv.sys [11336 2011-06-02] () R1 dtsoftbus01; C:\WINDOWS\System32\DRIVERS\dtsoftbus01.sys [243128 2014-05-25] (Disc Soft Ltd) S1 DumpDrv; C:\WINDOWS\system32\Drivers\DumpDrv.sys [9472 2014-04-20] (Microsoft Corporation) R1 eamonm; C:\WINDOWS\System32\DRIVERS\eamonm.sys [206312 2016-02-09] (ESET) R1 ehdrv; C:\WINDOWS\System32\DRIVERS\ehdrv.sys [146024 2016-02-09] (ESET) R1 epfwtdir; C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [127496 2016-02-09] (ESET) S3 flash; C:\WINDOWS\system32\drivers\flash.sys [8064 2005-11-17] () [Brak podpisu cyfrowego] S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2015-10-05] (Malwarebytes) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 tifm21; C:\WINDOWS\System32\drivers\tifm21.sys [290816 2007-05-02] (Texas Instruments) [Brak podpisu cyfrowego] S4 AIDA64Driver; \??\C:\Documents and Settings\Admin\Pulpit\aida64extreme460\kerneld.x32 [X] U5 Browser; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 cpuz137; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S4 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\ehdrv.sys [X] S4 IntelIde; Brak ImagePath U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Messenger; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2014-04-20] (Microsoft Corporation) ==================== NetSvcs (filtrowane) =================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ==================== Jeden miesiąc - utworzone pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2016-03-11 18:43 - 2016-03-11 18:43 - 00011871 _____ C:\Documents and Settings\Admin\Pulpit\FRST.txt 2016-03-11 18:42 - 2016-03-11 18:43 - 00000000 ____D C:\FRST 2016-03-11 18:41 - 2016-03-11 18:41 - 01725440 _____ (Farbar) C:\Documents and Settings\Admin\Pulpit\FRST.exe 2016-03-10 22:27 - 2016-03-10 22:27 - 00009016 _____ C:\ComboFix.txt 2016-03-10 22:27 - 2016-03-10 22:27 - 00000000 ____D C:\Documents and Settings\LocalService\Ustawienia lokalne\temp 2016-03-10 22:27 - 2016-03-10 22:27 - 00000000 ____D C:\Documents and Settings\Administrator\Ustawienia lokalne\temp 2016-03-10 22:23 - 2016-03-11 18:43 - 00000000 ____D C:\Documents and Settings\Admin\Ustawienia lokalne\temp 2016-03-10 22:20 - 2016-03-10 22:20 - 00000000 ____D C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ESET 2016-03-10 22:03 - 2016-03-10 22:03 - 00000000 ____D C:\Program Files\ESET 2016-03-10 22:03 - 2016-03-10 22:03 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\ESET 2016-03-10 22:03 - 2016-03-10 22:03 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\ESET 2016-03-10 22:02 - 2016-03-10 22:13 - 00000000 ____D C:\Program Files\AdwCleaner 2016-03-07 13:38 - 2016-03-07 13:38 - 00452064 _____ C:\Documents and Settings\Admin\Pulpit\FWD-_podatek_ALL.zip ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2016-03-11 18:43 - 2014-04-19 23:36 - 00000000 ____D C:\Documents and Settings\Admin\Pulpit 2016-03-11 10:55 - 2014-04-19 23:52 - 00001036 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2016-03-11 06:52 - 2014-04-20 01:03 - 01294938 _____ C:\WINDOWS\system32\PerfStringBackup.INI 2016-03-11 06:52 - 2014-04-20 00:01 - 00581182 _____ C:\WINDOWS\system32\perfh015.dat 2016-03-11 06:52 - 2014-04-20 00:01 - 00115498 _____ C:\WINDOWS\system32\perfc015.dat 2016-03-11 06:48 - 2014-04-19 23:35 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT 2016-03-10 23:46 - 2014-04-19 23:36 - 00000188 ___SH C:\Documents and Settings\Admin\ntuser.ini 2016-03-10 23:46 - 2014-04-19 23:35 - 00032556 _____ C:\WINDOWS\SchedLgU.Txt 2016-03-10 22:50 - 2015-04-06 11:55 - 00000000 ____D C:\Documents and Settings\Admin\Dane aplikacji\MPC-HC 2016-03-10 22:50 - 2014-05-25 20:40 - 00000000 ____D C:\Documents and Settings\Admin\Dane aplikacji\DAEMON Tools Lite 2016-03-10 22:50 - 2014-04-19 23:36 - 00000000 ____D C:\Documents and Settings\Admin 2016-03-10 22:27 - 2015-12-19 21:33 - 00000000 ____D C:\Qoobox 2016-03-10 22:27 - 2014-05-25 23:07 - 00000000 ___HD C:\Documents and Settings\Administrator\Ustawienia lokalne 2016-03-10 22:27 - 2014-04-19 23:35 - 00000000 __SHD C:\Documents and Settings\LocalService 2016-03-10 22:27 - 2014-04-19 23:35 - 00000000 ___HD C:\Documents and Settings\LocalService\Ustawienia lokalne 2016-03-10 22:27 - 2014-04-19 23:18 - 00000000 __SHD C:\Documents and Settings\NetworkService 2016-03-10 22:25 - 2014-04-20 00:02 - 00000227 _____ C:\WINDOWS\system.ini 2016-03-10 22:23 - 2014-04-19 23:36 - 00000000 ___HD C:\Documents and Settings\Admin\Ustawienia lokalne 2016-03-10 22:20 - 2014-04-19 23:36 - 00000000 __RHD C:\Documents and Settings\Admin\Dane aplikacji 2016-03-10 22:20 - 2014-04-19 23:36 - 00000000 ___HD C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji 2016-03-10 22:04 - 2014-04-20 00:18 - 00000000 ___HD C:\WINDOWS\inf 2016-03-10 22:03 - 2014-04-20 01:02 - 00000000 __RHD C:\Documents and Settings\All Users\Dane aplikacji 2016-03-10 21:55 - 2014-04-19 23:52 - 00001032 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2016-03-10 21:54 - 2014-04-20 09:46 - 00000000 ___HD C:\Program Files\InstallShield Installation Information 2016-03-10 21:53 - 2014-05-25 19:53 - 00000000 ____D C:\Documents and Settings\Admin\Dane aplikacji\uTorrent 2016-03-10 21:53 - 2014-04-19 23:36 - 00000000 ___RD C:\Documents and Settings\Admin\Menu Start 2016-03-10 21:40 - 2015-12-24 20:29 - 00170200 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2016-03-10 10:32 - 2014-04-20 00:02 - 00002262 _____ C:\WINDOWS\system32\wpa.dbl 2016-02-27 22:54 - 2014-04-20 10:29 - 00001552 _____ C:\WINDOWS\WINCMD.INI 2016-02-20 07:56 - 2014-04-19 23:55 - 00001825 _____ C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk 2016-02-20 07:56 - 2014-04-19 23:55 - 00001819 _____ C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk 2016-02-14 23:29 - 2014-04-20 20:32 - 00000000 ____D C:\Documents and Settings\Admin\Dane aplikacji\Skype 2016-02-14 08:03 - 2015-12-19 22:14 - 00002267 _____ C:\Documents and Settings\All Users\Pulpit\Skype.lnk Pliki do przeniesienia lub usunięcia: ==================== C:\Documents and Settings\Admin\Del1C94.bat C:\Documents and Settings\Administrator\Del1C94.bat C:\Documents and Settings\Default User\Del1C94.bat Niektóre pliki w TEMP: ==================== C:\Documents and Settings\Admin\Ustawienia lokalne\temp\RtkBtMnt.exe ==================== Bamital & volsnap ================= (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\WINDOWS\explorer.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\winlogon.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\svchost.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\services.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\User32.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\userinit.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\rpcss.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\dnsapi.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\Drivers\volsnap.sys => Plik podpisany cyfrowo ==================== Koniec FRST.txt ============================