Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 12-03-2017 Uruchomiony przez admin (12-03-2017 17:10:18) Run:2 Uruchomiony z C:\Users\admin\Desktop\FRST64 Załadowane profile: admin (Dostępne profile: admin) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) <==== UWAGA RemoveDirectory: C:\Program Files (x86)\Birdjob Task: {0B283F53-5B5B-48DD-AC4F-EE0B6A98BFD9} - \BirdeyeUpdateTaskMachineCore -> Brak pliku <==== UWAGA Task: {204CFA13-C70B-4D8F-AE21-631183502246} - \SetmikeUpdateTaskMachineCore -> Brak pliku <==== UWAGA Task: {491F7546-0A02-4D35-B64A-A226BF6E2BDD} - \Shacuentrudack Engine -> Brak pliku <==== UWAGA Task: {4EBB7685-1291-48CD-A6E1-526DCADC409C} - \SetmikeUpdateTaskMachineUA -> Brak pliku <==== UWAGA Task: {910A16B5-5E8F-440F-89C4-DE13E80208EC} - \BirdeyeUpdateTaskMachineUA -> Brak pliku <==== UWAGA FirewallRules: [{65AB3DE9-0ED6-4F04-ABB2-9023AA9759E7}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{57504F8C-AEE0-480B-BCEE-949E261ADED6}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [TCP Query User{0F357D1B-EA68-444C-90C1-69BC1B31C440}C:\program files (x86)\willjob\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe FirewallRules: [UDP Query User{1DD54C44-6EB1-4512-BC09-13B4677AF56A}\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe RemoveDirectory: C:\program files (x86)\willjob FirewallRules: [{96328BA8-1A54-4A4A-BD03-BAA6BB3A81EC}] => (Allow) C:\Program Files (x86)\Birdjob\Application\chrome.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => -> Brak pliku GroupPolicy: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <======= UWAGA (Ograniczenia - ProxySettings) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1489151978&z=42f456a869870fd216dd6a1gfz5b5tcgbwfg1tcmfq&from=ggg0302&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 gkernel; \??\C:\Users\admin\AppData\Local\Temp\gkernel.sys [X] <==== UWAGA S3 NAVENG; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\ENG64.SYS [X] S3 NAVEX15; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\EX64.SYS [X] S1 p1481293846am; \??\C:\Users\admin\AppData\Local\Temp\bk83DF.tmp\p1481293846am.sys [X] <==== UWAGA R2 WinSnare; Brak ImagePath StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes] "Start"=dword:00000002 "DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192" "ErrorControl"=dword:00000001 "Group"="ProfSvc_Group" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193" "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ThemeServiceMain" "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\ 00,64,00,6c,00,6c,00,00,00 EndRegedit: RemoveProxy: Hosts: EmptyTemp: ***************** Procesy zostały pomyślnie zamknięte. Punkt przywracania został pomyślnie utworzony. HKU\S-1-5-21-3302463646-3433223202-2161670610-1000_Classes\ChromeHTML => klucz pomyślnie usunięto "C:\Program Files (x86)\Birdjob" => pomyślnie usunięto. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0B283F53-5B5B-48DD-AC4F-EE0B6A98BFD9} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0B283F53-5B5B-48DD-AC4F-EE0B6A98BFD9} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BirdeyeUpdateTaskMachineCore => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{204CFA13-C70B-4D8F-AE21-631183502246} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{204CFA13-C70B-4D8F-AE21-631183502246} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SetmikeUpdateTaskMachineCore => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{491F7546-0A02-4D35-B64A-A226BF6E2BDD} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{491F7546-0A02-4D35-B64A-A226BF6E2BDD} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Shacuentrudack Engine => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{4EBB7685-1291-48CD-A6E1-526DCADC409C} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4EBB7685-1291-48CD-A6E1-526DCADC409C} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SetmikeUpdateTaskMachineUA => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{910A16B5-5E8F-440F-89C4-DE13E80208EC} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{910A16B5-5E8F-440F-89C4-DE13E80208EC} => klucz pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BirdeyeUpdateTaskMachineUA => klucz pomyślnie usunięto HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{65AB3DE9-0ED6-4F04-ABB2-9023AA9759E7} => Wartość pomyślnie usunięto HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{57504F8C-AEE0-480B-BCEE-949E261ADED6} => Wartość pomyślnie usunięto HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{0F357D1B-EA68-444C-90C1-69BC1B31C440}C:\program files (x86)\willjob\application\chrome.exe => Wartość pomyślnie usunięto HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{1DD54C44-6EB1-4512-BC09-13B4677AF56A}\application\chrome.exe => Wartość nie znaleziono. "C:\program files (x86)\willjob" => pomyślnie usunięto. HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{96328BA8-1A54-4A4A-BD03-BAA6BB3A81EC} => Wartość pomyślnie usunięto HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => Wartość pomyślnie usunięto HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\IDM Shell Extension => klucz pomyślnie usunięto HKCR\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D} => klucz nie znaleziono. C:\Windows\system32\GroupPolicy\Machine => pomyślnie przeniesiono C:\Windows\system32\GroupPolicy\GPT.ini => pomyślnie przeniesiono C:\Windows\SysWOW64\GroupPolicy\GPT.ini => pomyślnie przeniesiono HKLM\SOFTWARE\Policies\Google => klucz pomyślnie usunięto HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser => Wartość pomyślnie usunięto HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie przywrócono HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie przywrócono HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wartość pomyślnie przywrócono HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wartość pomyślnie przywrócono HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wartość pomyślnie przywrócono HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie przywrócono HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wartość pomyślnie przywrócono HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wartość pomyślnie przywrócono HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usunięto HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usunięto HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usunięto HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\Default => Wartość pomyślnie przywrócono HKLM\System\CurrentControlSet\Services\dgderdrv => klucz pomyślnie usunięto dgderdrv => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\gkernel => klucz pomyślnie usunięto gkernel => serwis pomyślnie usunięto HKLM\System\CurrentControlSet\Services\NAVENG => niepowodzenie przy usuwaniu klucz. Odmowa dostępu. HKLM\System\CurrentControlSet\Services\NAVEX15 => niepowodzenie przy usuwaniu klucz. Odmowa dostępu. HKLM\System\CurrentControlSet\Services\p1481293846am => klucz pomyślnie usunięto p1481293846am => serwis pomyślnie usunięto WinSnare => Usługa pomyślnie zatrzymana. HKLM\System\CurrentControlSet\Services\WinSnare => klucz pomyślnie usunięto WinSnare => serwis pomyślnie usunięto ====> Rejestr ========= RemoveProxy: ========= HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => Wartość pomyślnie usunięto HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => Wartość pomyślnie usunięto HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => Wartość pomyślnie usunięto HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => Wartość pomyślnie usunięto HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto ========= Koniec RemoveProxy: ========= C:\Windows\System32\Drivers\etc\hosts => pomyślnie przeniesiono Hosts pomyślnie przywrócono. =========== EmptyTemp: ========== BITS transfer queue => 8388608 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 41004643 B Java, Flash, Steam htmlcache => 184343438 B Windows/system/drivers => 225492793 B Edge => 0 B Chrome => 26600150 B Firefox => 12567957 B Opera => 172032 B Temp, IE cache, history, cookies, recent: Users => 0 B Default => 0 B Public => 0 B ProgramData => 0 B systemprofile => 69750 B systemprofile32 => 269826911 B LocalService => 0 B NetworkService => 0 B admin => 856913311 B UpdatusUser => 0 B RecycleBin => 120805 B EmptyTemp: => 1.5 GB danych tymczasowych Usunięto. ================================ Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 12-03-2017 17:14:21) Rezultat usuwania kluczy przy restarcie: HKLM\System\CurrentControlSet\Services\NAVENG => niepowodzenie przy usuwaniu klucz. Odmowa dostępu. HKLM\System\CurrentControlSet\Services\NAVEX15 => niepowodzenie przy usuwaniu klucz. Odmowa dostępu. ==== Koniec Fixlog 17:14:22 ====