Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 21-09-2016 Uruchomiony przez Giant (administrator) GIANT-KOMPUTER (23-09-2016 12:33:10) Uruchomiony z D:\Pobrane\FRST-GMER Załadowane profile: Giant (Dostępne profile: Giant) Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome) Tryb startu: Normal Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Procesy (filtrowane) ================= (Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.) (Datpol) C:\Program Files (x86)\SpyShelter Firewall\SpyShelterSrv.exe (Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (Malwarebytes Corporation) D:\Dokumenty\Malwarebytes Anti-Exploit\mbae-svc.exe (RaMMicHaeL) D:\Dokumenty\Unchecky\bin\unchecky_svc.exe (Malwarebytes Corporation) D:\Dokumenty\Malwarebytes Anti-Exploit\mbae64.exe (Datpol) C:\Program Files (x86)\SpyShelter Firewall\SpyShelter.exe (RaMMicHaeL) D:\Dokumenty\Unchecky\bin\unchecky_bg.exe (Flux Software LLC) C:\Users\Giant\AppData\Local\FluxSoftware\Flux\flux.exe (Dominik Reichl) D:\Dokumenty\KeeP\KeePass Password Safe\KeePass.exe (Malwarebytes Corporation) D:\Dokumenty\Malwarebytes Anti-Exploit\mbae.exe (Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe (Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieCtrl.exe ==================== Rejestr (filtrowane) =========================== (Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.) HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => D:\Dokumenty\Malwarebytes Anti-Exploit\mbae.exe [2631120 2016-07-28] (Malwarebytes Corporation) HKU\S-1-5-21-1003042359-231693245-1145260948-1000\...\Run: [f.lux] => C:\Users\Giant\AppData\Local\FluxSoftware\Flux\flux.exe [1017224 2013-10-24] (Flux Software LLC) HKU\S-1-5-21-1003042359-231693245-1145260948-1000\...\Run: [KeePass Password Safe] => D:\Dokumenty\KeeP\KeePass Password Safe\KeePass.exe [2159304 2016-01-02] (Dominik Reichl) HKU\S-1-5-21-1003042359-231693245-1145260948-1000\...\MountPoints2: E - E:\HTC_Sync_Manager_PC.exe HKU\S-1-5-21-1003042359-231693245-1145260948-1000\...\MountPoints2: {4698f0f8-0d5b-11e6-bc57-6c626d336873} - F:\HTC_Sync_Manager_PC.exe ==================== Internet (filtrowane) ==================== (Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.) Hosts: W pliku Hosts jest więcej niż jedno wejście. Sprawdź sekcję Hosts w Addition.txt Tcpip\Parameters: [DhcpNameServer] 195.46.37.2 195.46.37.3 Tcpip\..\Interfaces\{2B75D30C-9B54-4297-9CE2-D30991F53071}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{5CBA758A-A4CD-4128-BD63-7EDAC6FC697B}: [NameServer] 208.67.222.222,208.67.220.220 Tcpip\..\Interfaces\{5CBA758A-A4CD-4128-BD63-7EDAC6FC697B}: [DhcpNameServer] 195.46.37.2 195.46.37.3 Internet Explorer: ================== HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1003042359-231693245-1145260948-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://startpage.com/ Chrome: ======= CHR HomePage: Default -> hxxps://startpage.com/ CHR StartupUrls: Default -> "hxxps://android.giveawayoftheday.com/" CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.903\_platform_specific\win_x64\widevinecdmadapter.dll (Google Inc.) CHR Plugin: (Shockwave Flash) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\PepperFlash\22.0.0.209\pepflashplayer.dll () CHR Profile: C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default [2016-09-22] CHR Extension: (Flash Video Downloader) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc [2016-09-11] CHR Extension: (MEGA) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default\Extensions\bigefpfhnfcobdlfbedofhhaibnlghod [2016-09-15] CHR Extension: (uBlock Origin) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2016-08-29] CHR Extension: (GG Plugin) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default\Extensions\khmcdkdpeihijgkgmmdkbccccjnonjie [2016-07-17] CHR Extension: (Chrome Media Router) - C:\Users\Giant\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-04] CHR HKLM-x32\...\Chrome\Extension: [nlbejmccbhkncgokjcmghpfloaajcffj] - hxxps://clients2.google.com/service/update2/crx ==================== Usługi (filtrowane) ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) S3 hshld; C:\Program Files (x86)\Hotspot Shield\bin\cmw_srv.exe [2710648 2016-08-24] (AnchorFree Inc.) S3 HssTrayService; C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE [103168 2016-08-24] () R2 MbaeSvc; D:\Dokumenty\Malwarebytes Anti-Exploit\mbae-svc.exe [750032 2016-07-28] (Malwarebytes Corporation) S4 OODefragAgent; C:\Program Files\OO Software\Defrag\oodag.exe [1657640 2014-05-12] (O&O Software GmbH) R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [197264 2016-06-15] (Sandboxie Holdings, LLC) R2 SpyShelterSrv; C:\Program Files (x86)\SpyShelter Firewall\SpyShelterSrv.exe [61184 2016-09-07] (Datpol) R2 Unchecky; D:\Dokumenty\Unchecky\bin\unchecky_svc.exe [254232 2016-09-05] (RaMMicHaeL) ===================== Sterowniki (filtrowane) ========================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) R3 AFTrafMgr1.1; C:\Program Files (x86)\Hotspot Shield\bin\TrafMgr_1_1_64.sys [54712 2016-08-23] (AnchorFree Inc.) R0 amdide64; C:\Windows\System32\DRIVERS\amdide64.sys [11944 2015-11-01] (Advanced Micro Devices Inc.) S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation) R1 ESProtectionDriver; D:\Dokumenty\Malwarebytes Anti-Exploit\mbae64.sys [75360 2016-08-04] () S3 HTCAND64; C:\Windows\System32\Drivers\ANDROIDUSB.sys [33736 2009-11-02] (HTC, Corporation) [Brak podpisu cyfrowego] R1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [26528 2015-11-01] (REALiX(tm)) R1 ISODrive; C:\Program Files (x86)\UltraISO\drivers\ISODrv64.sys [115448 2013-11-21] (EZB Systems, Inc.) U5 RTSPER; C:\Windows\System32\Drivers\RTSPER.sys [752856 2015-06-22] (Realsil Semiconductor Corporation) R3 RTSUER; C:\Windows\System32\Drivers\RtsUer.sys [402136 2015-06-22] (Realsil Semiconductor Corporation) R3 RTWlanE; C:\Windows\System32\DRIVERS\rtwlane.sys [3709656 2015-11-01] (Realtek Semiconductor Corporation ) R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [204944 2016-06-15] (Sandboxie Holdings, LLC) R1 Spyshelter; C:\Program Files (x86)\SpyShelter Firewall\SpyShelter.sys [1866640 2016-09-07] () R2 SpyshelterFw; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterWFP.sys [74640 2016-09-01] (SpyShelter) R1 SpyshelterKb; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterKb.sys [872336 2016-09-06] (SpyShelter) R3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-10-12] (Anchorfree Inc.) R2 WiseFS; C:\Windows\WiseFs64.sys [12328 2015-02-26] (WiseCleaner.com) [Brak podpisu cyfrowego] U3 pwddqkod; \??\C:\Users\Giant\AppData\Local\Temp\pwddqkod.sys [X] ==================== NetSvcs (filtrowane) =================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ==================== Jeden miesiąc - utworzone pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2016-09-22 15:01 - 2016-09-22 15:01 - 00058016 _____ C:\Users\Giant\AppData\Local\GDIPFONTCACHEV1.DAT 2016-09-22 15:00 - 2016-09-23 12:33 - 00000000 ____D C:\FRST 2016-09-22 13:34 - 2016-09-22 13:34 - 03183206 _____ C:\Users\Giant\Desktop\TTIP-i-CETA-Zamach_na_zrownowazone_rolnictwo-IGO.pdf 2016-09-16 20:10 - 2016-09-16 20:10 - 00000000 ____D C:\Users\Public\Foxit Software 2016-09-16 19:54 - 2016-09-22 12:14 - 00000000 ____D C:\ProgramData\Foxit Software 2016-09-16 14:17 - 2016-09-12 13:56 - 01740650 _____ C:\Users\Giant\Desktop\Kuracja życia dr Clark .pdf 2016-09-12 21:59 - 2016-09-12 21:59 - 00000000 ____D C:\Users\Giant\AppData\Local\ESET 2016-09-08 01:28 - 2016-09-08 01:28 - 01035272 _____ (Realtek ) C:\Windows\system32\Drivers\Rt64win7.sys 2016-09-08 01:28 - 2016-09-08 01:28 - 00082544 _____ (Realtek Semiconductor Corporation) C:\Windows\system32\RtNicProp64.dll 2016-09-08 01:26 - 2016-09-08 01:26 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Easy 2016-09-07 14:02 - 2016-09-07 14:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyShelter 2016-09-05 14:26 - 2016-09-05 14:26 - 00001584 _____ C:\Windows\system32\rrr.lnk 2016-09-05 13:47 - 2016-09-05 13:47 - 00000000 ____D C:\Users\Giant\AppData\Roaming\ChemTable Software 2016-09-05 13:46 - 2016-09-05 13:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reg Organizer 2016-09-05 13:46 - 2016-09-05 13:46 - 00000000 ____D C:\ProgramData\Chemtable Software 2016-09-05 13:46 - 2016-09-05 13:46 - 00000000 ____D C:\Program Files (x86)\Reg Organizer 2016-09-05 13:45 - 2016-09-05 13:47 - 00000000 ____D C:\Users\Giant\AppData\Local\ChemTable Software 2016-09-05 12:51 - 2016-09-15 16:05 - 00000000 ____D C:\ProgramData\Unchecky 2016-09-04 20:48 - 2016-09-21 12:35 - 00000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit 2016-09-04 20:48 - 2016-09-12 13:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit 2016-09-04 20:46 - 2016-09-04 20:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unchecky 2016-09-03 22:38 - 2016-09-03 22:38 - 00000000 ____D C:\ProgramData\Apple 2016-08-27 14:37 - 2016-08-27 14:38 - 00001103 _____ C:\Users\Giant\Downloads\Process Explorer.lnk 2016-08-26 18:14 - 2016-08-26 18:14 - 00000000 ____D C:\Users\Giant\Documents\My ISO Files 2016-08-26 18:14 - 2016-08-26 18:14 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO 2016-08-26 18:14 - 2016-08-26 18:14 - 00000000 ____D C:\Program Files (x86)\UltraISO 2016-08-26 13:29 - 2016-08-27 13:11 - 00000000 ____D C:\Users\Giant\AppData\Roaming\Driver Magician 2016-08-26 13:29 - 2016-08-27 13:11 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Magician 2016-08-26 13:29 - 2011-02-08 14:58 - 01882104 _____ (Codejock Software) C:\Windows\SysWOW64\Codejock.Controls.v15.0.1.ocx 2016-08-26 13:29 - 2005-01-12 11:19 - 00456536 _____ (Xceed Software Inc (450) 442-2626 support@xceedsoft.com www.xceedsoft.com) C:\Windows\SysWOW64\XCEEDZIP.DLL 2016-08-26 13:29 - 2004-09-28 11:13 - 00526184 _____ (Xceed Software Inc (450) 442-2626 support@xceedsoft.com www.xceedsoft.com) C:\Windows\SysWOW64\XceedCry.dll 2016-08-26 13:29 - 2004-08-11 15:55 - 00110602 _____ C:\Windows\SysWOW64\xcdsfx32.bin ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2016-09-23 12:31 - 2015-10-31 04:57 - 00000000 ____D C:\Users\Giant\AppData\Roaming\uTorrent 2016-09-22 15:07 - 2015-11-01 04:22 - 00000000 ____D C:\Users\Giant\AppData\Local\CrashDumps 2016-09-22 15:06 - 2009-07-14 06:45 - 00021648 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2016-09-22 15:06 - 2009-07-14 06:45 - 00021648 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2016-09-22 11:58 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2016-09-19 16:41 - 2015-10-29 18:00 - 00000000 ____D C:\Users\Giant\AppData\Roaming\vlc 2016-09-18 01:57 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf 2016-09-17 19:16 - 2015-10-29 04:35 - 00003532 _____ C:\Windows\Sandboxie.ini 2016-09-16 20:10 - 2015-10-29 05:03 - 00000000 ____D C:\Users\Giant\AppData\Roaming\Foxit Software 2016-09-15 16:06 - 2016-07-31 00:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Freemake 2016-09-15 16:06 - 2015-11-23 20:35 - 00000000 ____D C:\ProgramData\Freemake 2016-09-08 11:59 - 2015-10-29 05:07 - 00000000 ____D C:\Program Files (x86)\SpyShelter Firewall 2016-09-08 01:28 - 2015-10-29 05:11 - 00116296 _____ (Realtek Semiconductor Corporation) C:\Windows\system32\RTNUninst64.dll 2016-09-04 21:13 - 2015-11-23 20:12 - 00000000 ____D C:\Users\Giant\AppData\Roaming\Skype 2016-09-04 13:42 - 2015-10-29 04:54 - 00001261 _____ C:\Users\Giant\AppData\Roaming\Microsoft\Windows\Start Menu\Free Sound Recorder.lnk 2016-09-04 13:42 - 2015-10-29 04:54 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Sound Recorder 2016-09-04 13:42 - 2015-10-29 04:54 - 00000000 ____D C:\Program Files (x86)\Free Sound Recorder 2016-09-04 13:38 - 2015-10-29 04:54 - 00000000 ____D C:\Users\Giant\AppData\Roaming\New Version Available 2016-09-01 16:26 - 2016-03-05 02:24 - 00052992 _____ (Datpol) C:\Windows\system32\SpyShelterShellExt.dll 2016-09-01 16:26 - 2015-10-29 05:07 - 00045824 _____ (Datpol) C:\Windows\SysWOW64\SpyShelterShellExt.dll 2016-08-30 13:00 - 2011-04-12 15:21 - 00821230 _____ C:\Windows\system32\perfh015.dat 2016-08-30 13:00 - 2011-04-12 15:21 - 00190490 _____ C:\Windows\system32\perfc015.dat 2016-08-30 13:00 - 2009-07-14 07:13 - 01886498 _____ C:\Windows\system32\PerfStringBackup.INI 2016-08-29 18:52 - 2015-10-29 05:43 - 00000000 ____D C:\Program Files (x86)\Hotspot Shield 2016-08-29 18:51 - 2015-10-29 05:43 - 00000000 ____D C:\ProgramData\Hotspot Shield 2016-08-27 15:20 - 2015-10-29 04:58 - 00000000 ____D C:\Users\Giant\AppData\Roaming\Mozilla 2016-08-26 18:16 - 2015-10-31 00:28 - 00000000 ____D C:\Users\Giant\AppData\Roaming\dvdcss ==================== Pliki w katalogu głównym wybranych folderów ======= 2016-07-22 16:18 - 2016-08-13 23:59 - 0000010 _____ () C:\Users\Giant\AppData\Roaming\pecodec.dll 2015-10-29 04:45 - 2015-10-29 04:45 - 0000000 ____H () C:\ProgramData\DP45977C.lfl ==================== Bamital & volsnap ================= (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\Windows\system32\winlogon.exe => Plik podpisany cyfrowo C:\Windows\system32\wininit.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\wininit.exe => Plik podpisany cyfrowo C:\Windows\explorer.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\explorer.exe => Plik podpisany cyfrowo C:\Windows\system32\svchost.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\svchost.exe => Plik podpisany cyfrowo C:\Windows\system32\services.exe => Plik podpisany cyfrowo C:\Windows\system32\User32.dll => Plik podpisany cyfrowo C:\Windows\SysWOW64\User32.dll => Plik podpisany cyfrowo C:\Windows\system32\userinit.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\userinit.exe => Plik podpisany cyfrowo C:\Windows\system32\rpcss.dll => Plik podpisany cyfrowo C:\Windows\system32\dnsapi.dll => Plik podpisany cyfrowo C:\Windows\SysWOW64\dnsapi.dll => Plik podpisany cyfrowo C:\Windows\system32\Drivers\volsnap.sys => Plik podpisany cyfrowo LastRegBack: 2016-09-15 17:40 ==================== Koniec FRST.txt ============================