Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x86) Wersja: 27-04-2017 Uruchomiony przez ADMIN (administrator) ADMINPC (29-04-2017 19:01:35) Uruchomiony z C:\Documents and Settings\ADMIN\Pulpit Załadowane profile: ADMIN (Dostępne profile: ADMIN) Platform: Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) Język: Polski Internet Explorer Wersja 8 (Domyślna przeglądarka: FF) Tryb startu: Normal Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Procesy (filtrowane) ================= (Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Microsoft Corporation) C:\Program Files\Microsoft Office 2007\Office12\GrooveMonitor.exe (ESET) C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (Gadu-Gadu S.A.) C:\Program Files\Gadu-Gadu\gg.exe (DT Soft Ltd) C:\Program Files\DAEMON Tools Lite\DTLite.exe (EnTech Taiwan) C:\Program Files\MultiRes\MultiRes.exe (ESET) C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe () C:\Documents and Settings\All Users\Dane aplikacji\MobileBrServ\mbbService.exe (Lavalys, Inc.) C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe ==================== Rejestr (filtrowane) ==================== (Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.) HKLM\...\Run: [AtiPTA] => C:\WINDOWS\system32\atiptaxx.exe [344064 2006-02-22] (ATI Technologies, Inc.) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1022152 2014-12-19] (Adobe Systems Incorporated) HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office 2007\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [egui] => C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [5074384 2012-11-26] (ESET) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll [2007-12-05] (ATI Technologies Inc.) HKU\S-1-5-21-1417001333-2025429265-1801674531-500\...\Run: [Gadu-Gadu] => C:\Program Files\Gadu-Gadu\gg.exe [2127296 2008-03-20] (Gadu-Gadu S.A.) HKU\S-1-5-21-1417001333-2025429265-1801674531-500\...\Run: [DAEMON Tools Lite] => C:\Program Files\DAEMON Tools Lite\DTLite.exe [369200 2009-10-30] (DT Soft Ltd) HKU\S-1-5-21-1417001333-2025429265-1801674531-500\...\MountPoints2: {30135464-d971-11e4-b8aa-00301b359848} - F:\AutoRun.exe ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) Startup: C:\Documents and Settings\ADMIN\Menu Start\Programy\Autostart\MultiRes.lnk [2015-03-07] ShortcutTarget: MultiRes.lnk -> C:\Program Files\MultiRes\MultiRes.exe (EnTech Taiwan) ==================== Internet (filtrowane) ==================== (Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.) Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{D9FAAADB-F10F-4684-A434-568B082A0352}: [DhcpNameServer] 192.168.1.1 Internet Explorer: ================== HKU\S-1-5-21-1417001333-2025429265-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office 2007\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office 2007\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation) FireFox: ======== FF ProfilePath: C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\x9u3oz8n.default-1493481178750 [2017-04-29] FF Homepage: C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\x9u3oz8n.default-1493481178750 -> hxxps://www.google.pl/webhp?ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=BbgEWcaFMOHM8ge6nKmwBg FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-04-02] [Brak podpisu cyfrowego] FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF Extension: (ESET Smart Security Extension) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2017-02-26] [Brak podpisu cyfrowego] FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32_23_0_0_207.dll [2016-11-08] () FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-08-05] (Adobe Systems Inc.) ==================== Usługi (filtrowane) ==================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) R2 Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [495616 2007-12-05] (ATI Technologies Inc.) [Brak podpisu cyfrowego] S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2007-09-28] () [Brak podpisu cyfrowego] R2 ekrn; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [1329304 2012-11-26] (ESET) R2 MDM; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [335872 2006-10-26] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office 2007\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation) R2 Mobile Broadband HL Service; C:\Documents and Settings\All Users\Dane aplikacji\MobileBrServ\mbbservice.exe [232288 2012-03-12] () ===================== Sterowniki (filtrowane) ====================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) R3 ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2782208 2007-12-05] (ATI Technologies Inc.) [Brak podpisu cyfrowego] R1 eamon; C:\WINDOWS\System32\DRIVERS\eamon.sys [159832 2012-10-08] (ESET) R1 ehdrv; C:\WINDOWS\System32\DRIVERS\ehdrv.sys [121216 2012-10-08] (ESET) R1 epfwtdir; C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [104736 2012-10-08] (ESET) R3 EverestDriver; C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [27760 2010-03-31] () R3 gameenum; C:\WINDOWS\System32\DRIVERS\gameenum.sys [10624 2008-04-14] (Microsoft Corporation) R1 HWiNFO32; C:\WINDOWS\system32\drivers\HWiNFO32.SYS [23840 2015-12-06] (REALiX(tm)) R3 ms_mpu401; C:\WINDOWS\System32\drivers\msmpu401.sys [2944 2001-08-17] (Microsoft Corporation) R0 nvatabus; C:\WINDOWS\System32\DRIVERS\nvatabus.sys [79360 2015-12-24] (NVIDIA Corporation) R3 nvax; C:\WINDOWS\System32\drivers\nvax.sys [53376 2015-12-24] (NVIDIA Corporation) R3 NVENET; C:\WINDOWS\System32\DRIVERS\NVENET.sys [93764 2015-12-24] (NVIDIA Corporation) R0 nvidesm; C:\WINDOWS\System32\drivers\nvidesm.sys [20224 2002-11-13] (NVIDIA Corporation) [Brak podpisu cyfrowego] R3 nvnforce; C:\WINDOWS\System32\drivers\nvapu.sys [414464 2015-12-24] (NVIDIA Corporation) R0 nv_agp; C:\WINDOWS\System32\DRIVERS\nv_agp.sys [21760 2015-12-24] (NVIDIA Corporation) R0 Si3112; C:\WINDOWS\system32\Drivers\Si3112.sys [62336 2009-07-16] (Silicon Image, Inc.) [Brak podpisu cyfrowego] S0 Si3114r5; C:\WINDOWS\system32\Drivers\Si3114r5.sys [195072 2009-07-16] (Silicon Image, Inc) R0 Si3124; C:\WINDOWS\system32\Drivers\Si3124.sys [69248 2009-07-16] (Silicon Image, Inc.) [Brak podpisu cyfrowego] R0 Si3132; C:\WINDOWS\system32\Drivers\Si3132.sys [74672 2009-07-16] (Silicon Image, Inc.) R0 Si3132r5; C:\WINDOWS\system32\Drivers\Si3132r5.sys [215856 2009-07-16] (Silicon Image, Inc) R0 Si3531; C:\WINDOWS\system32\Drivers\Si3531.sys [212520 2009-07-16] (Silicon Image, Inc) R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2015-10-04] () [Brak podpisu cyfrowego] U3 a93dviw3; C:\WINDOWS\system32\Drivers\a93dviw3.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder) S4 IntelIde; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U1 WS2IFSL; Brak ImagePath ==================== NetSvcs (filtrowane) =================== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ==================== Jeden miesiąc - utworzone pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2017-04-29 18:50 - 2017-04-29 18:50 - 00034225 _____ C:\Documents and Settings\ADMIN\Pulpit\Shortcut.txt 2017-04-29 18:50 - 2017-04-29 18:50 - 00033558 _____ C:\Documents and Settings\ADMIN\Pulpit\Addition.txt 2017-04-29 18:45 - 2017-04-29 19:01 - 00010155 _____ C:\Documents and Settings\ADMIN\Pulpit\FRST.txt 2017-04-29 18:44 - 2017-04-29 18:44 - 01768448 _____ (Farbar) C:\Documents and Settings\ADMIN\Pulpit\FRST.exe 2017-04-29 18:00 - 2017-04-29 19:01 - 00000000 ____D C:\FRST 2017-04-29 17:32 - 2017-04-29 17:32 - 00090112 _____ C:\WINDOWS\Minidump\Mini042917-04.dmp 2017-04-29 17:18 - 2017-04-29 17:18 - 00090112 _____ C:\WINDOWS\Minidump\Mini042917-01.dmp 2017-04-29 17:03 - 2017-04-29 17:03 - 00090112 _____ C:\WINDOWS\Minidump\Mini042917-03.dmp 2017-04-29 16:20 - 2017-04-29 16:20 - 00090112 _____ C:\WINDOWS\Minidump\Mini042917-02.dmp ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== (Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.) 2017-04-29 19:01 - 2015-03-07 21:30 - 00000000 ____D C:\Documents and Settings\ADMIN\Ustawienia lokalne\Temp 2017-04-29 18:59 - 2003-12-05 02:30 - 00000930 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2017-04-29 18:50 - 2015-03-07 21:30 - 00000000 ____D C:\Documents and Settings\ADMIN\Pulpit 2017-04-29 18:41 - 2015-05-03 20:44 - 00000260 _____ C:\WINDOWS\Tasks\WGASetup.job 2017-04-29 18:40 - 2016-09-24 19:55 - 00000222 _____ C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job 2017-04-29 18:40 - 2015-03-07 21:30 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT 2017-04-29 18:38 - 2015-03-07 21:30 - 00032486 _____ C:\WINDOWS\SchedLgU.Txt 2017-04-29 18:38 - 2015-03-07 21:30 - 00000188 __SHC C:\Documents and Settings\ADMIN\ntuser.ini 2017-04-29 17:59 - 2015-03-07 23:21 - 00000000 ____D C:\Documents and Settings\ADMIN\Moje dokumenty\Pobrane 2017-04-29 17:53 - 2015-04-04 10:09 - 00000000 ____D C:\Documents and Settings\ADMIN\Pulpit\Stare dane programu Firefox 2017-04-29 17:38 - 2015-03-07 22:21 - 00000000 ___RD C:\Documents and Settings\All Users\Menu Start\Programy 2017-04-29 17:38 - 2015-03-07 22:21 - 00000000 ____D C:\Documents and Settings\All Users\Pulpit 2017-04-29 16:35 - 2015-03-07 22:21 - 01097752 ____C C:\WINDOWS\system32\PerfStringBackup.INI 2017-04-29 16:35 - 2009-07-16 23:33 - 00493984 ____C C:\WINDOWS\system32\perfh015.dat 2017-04-29 16:35 - 2009-07-16 23:33 - 00085268 ____C C:\WINDOWS\system32\perfc015.dat 2017-04-29 16:20 - 2015-04-02 15:38 - 00000000 ____D C:\WINDOWS\Minidump 2017-04-29 16:18 - 2009-07-16 23:33 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl 2017-04-18 12:18 - 2016-09-24 19:55 - 00000216 _____ C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job 2017-04-18 11:31 - 2015-03-07 21:26 - 00001507 _____ C:\Documents and Settings\All Users\Menu Start\Windows Update.lnk ==================== Bamital & volsnap ====================== (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\WINDOWS\explorer.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\winlogon.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\svchost.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\services.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\User32.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\userinit.exe => Plik podpisany cyfrowo C:\WINDOWS\system32\rpcss.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\dnsapi.dll => Plik podpisany cyfrowo C:\WINDOWS\system32\Drivers\volsnap.sys => Plik podpisany cyfrowo ==================== Koniec FRST.txt ============================