Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x86) Wersja: 26-01-2020 Uruchomiony przez Mateusz (26-01-2020 19:58:19) Uruchomiony z C:\Users\Mateusz\Desktop Microsoft Windows 10 Home Wersja 1909 18363.592 (X86) (2020-01-26 16:03:08) Tryb startu: Normal ========================================================== ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3937347411-3934263175-1218539208-500 - Administrator - Disabled) Gość (S-1-5-21-3937347411-3934263175-1218539208-501 - Limited - Disabled) Konto domyślne (S-1-5-21-3937347411-3934263175-1218539208-503 - Limited - Disabled) Mateusz (S-1-5-21-3937347411-3934263175-1218539208-1000 - Administrator - Enabled) => C:\Users\Mateusz WDAGUtilityAccount (S-1-5-21-3937347411-3934263175-1218539208-504 - Limited - Disabled) ==================== Centrum zabezpieczeń ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie.) AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Zainstalowane programy ====================== (W fixlist dozwolone tylko załączanie programów adware z flagą "Hidden" w celu ich uwidocznienia. Programy adware powinny zostać w poprawny sposób odinstalowane.) AMD Radeon Settings (HKLM\...\WUCCCApp) (Version: 2017.0424.2119.36535 - Advanced Micro Devices, Inc.) Conexant HD Audio (HKLM\...\CNXT_AUDIO_HDA) (Version: 8.65.55.62 - Conexant) Google Chrome (HKLM\...\Google Chrome) (Version: 79.0.3945.130 - Google LLC) Google Update Helper (HKLM\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.35.421 - Google LLC) Hidden Lenovo EasyCamera (HKLM\...\{E399A5B3-ED53-4DEA-AF04-8011E1EB1EAC}) (Version: 6.3.9600.11105 - Realtek Semiconductor Corp.) Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation) Revo Uninstaller 2.1.1 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.1.1 - VS Revo Group, Ltd.) WinRAR 5.80 (32-bitowy) (HKLM\...\WinRAR archiver) (Version: 5.80.0 - win.rar GmbH) Packages: ========= Bubble Witch 3 Saga -> C:\Program Files\WindowsApps\king.com.BubbleWitch3Saga_6.4.7.0_x86__kgqvnymyfvs32 [2020-01-26] (king.com) Candy Crush Friends -> C:\Program Files\WindowsApps\king.com.CandyCrushFriends_1.29.4.0_x86__kgqvnymyfvs32 [2020-01-26] (king.com) Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1808.3.0_x86__8wekyb3d8bbwe [2020-01-26] (Microsoft Corporation) [MS Ad] Microsoft Solitaire Collection -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.2.11280.0_x86__8wekyb3d8bbwe [2020-01-26] (Microsoft Studios) [MS Ad] MSN Pogoda -> C:\Program Files\WindowsApps\Microsoft.BingWeather_4.25.20211.0_x86__8wekyb3d8bbwe [2020-01-26] (Microsoft Corporation) [MS Ad] Poczta i Kalendarz -> C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11029.20108.0_x86__8wekyb3d8bbwe [2020-01-26] (Microsoft Corporation) [MS Ad] ==================== Niestandardowe rejestracje CLSID (filtrowane): ============== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll [2210608 2006-10-27] (Microsoft Corporation -> Microsoft Corporation) ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-12-25] (win.rar GmbH -> Alexander Roshal) ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files\AMD\CNext\CNext\atiacmxx.dll [2017-04-24] (Advanced Micro Devices, Inc.) [Brak podpisu cyfrowego] ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-12-25] (win.rar GmbH -> Alexander Roshal) ==================== Codecs (filtrowane) ==================== ==================== Skróty & WMI ======================== ==================== Załadowane moduły (filtrowane) ============= 2020-01-10 20:44 - 2019-09-02 13:51 - 001398272 _____ () [Brak podpisu cyfrowego] C:\Windows.old\Program Files\Sticky Password\DLLs\_hashlib.pyd 2017-04-24 21:17 - 2017-04-24 21:17 - 000677376 _____ (Advanced Micro Devices, Inc.) [Brak podpisu cyfrowego] C:\Program Files\AMD\CNext\CNext\atiacmxx.dll 2017-04-24 21:17 - 2017-04-24 21:17 - 000005120 _____ (Advanced Micro Devices, Inc.) [Brak podpisu cyfrowego] C:\Program Files\AMD\CNext\CNext\atiamplk.dll 2020-01-26 19:33 - 2020-01-26 19:33 - 000095744 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\WINDOWS\WinSxS\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.42_none_dc990e4797f81af1\ATL80.DLL ==================== Alternate Data Streams (filtrowane) ======== ==================== Tryb awaryjny (filtrowane) ================== ==================== Powiązania plików (filtrowane) ================= ==================== Internet Explorer - Witryny zaufane i z ograniczeniami ========== ==================== Hosts - zawartość: ========================= (Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.) 2019-03-19 03:43 - 2019-03-19 03:43 - 000000824 _____ C:\WINDOWS\system32\drivers\etc\hosts ==================== Inne obszary =========================== (Obecnie brak automatycznej naprawy dla tej sekcji.) HKU\S-1-5-21-3937347411-3934263175-1218539208-1000\Control Panel\Desktop\\Wallpaper -> C:\WINDOWS\web\wallpaper\Windows\img0.jpg DNS Servers: 192.168.43.1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: ) Zapora systemu Windows [funkcja włączona] ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == ==================== Reguły Zapory systemu Windows (filtrowane) ================ (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) FirewallRules: [{8A178B5E-E7E8-44DD-8488-D39A0E7BAAFB}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC) ==================== Punkty Przywracania systemu ========================= 26-01-2020 18:03:50 Windows Update 26-01-2020 18:07:40 Revo Uninstaller's restore point - HiSuite 26-01-2020 19:19:54 Revo Uninstaller's restore point - Office ==================== Wadliwe urządzenia w Menedżerze urządzeń ============ ==================== Błędy w Dzienniku zdarzeń: ======================== Dziennik Aplikacja: ================== Error: (01/26/2020 07:55:21 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program HxOutlook.exe w wersji 16.0.11029.20108 przestał współpracować z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemów w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 120c Godzina rozpoczęcia: 01d5d47a05e5fd44 Godzina zakończenia: 4294967295 Ścieżka aplikacji: C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11029.20108.0_x86__8wekyb3d8bbwe\HxOutlook.exe Identyfikator raportu: 39a17fc4-c640-4f20-87cb-1edce0a1b75f Pełna nazwa pakietu powodującego błąd: microsoft.windowscommunicationsapps_16005.11029.20108.0_x86__8wekyb3d8bbwe Identyfikator aplikacji powiązanej z pakietem powodującym błąd: microsoft.windowslive.mail Typ zawieszenia: Quiesce Error: (01/26/2020 07:28:54 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury QueryFullProcessImageNameW. hr = 0x80070006, Nieprawidłowe dojście. . Operacja: Wykonywanie operacji asynchronicznej Kontekst: Stan bieżący: DoSnapshotSet Error: (01/26/2020 07:28:29 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft. System Error: Odmowa dostępu. . Error: (01/26/2020 07:28:12 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury QueryFullProcessImageNameW. hr = 0x80070006, Nieprawidłowe dojście. . Operacja: Wykonywanie operacji asynchronicznej Kontekst: Stan bieżący: DoSnapshotSet Error: (01/26/2020 07:27:53 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft. System Error: Odmowa dostępu. . Error: (01/26/2020 07:19:56 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft. System Error: Odmowa dostępu. . Error: (01/26/2020 07:19:17 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury QueryFullProcessImageNameW. hr = 0x8007001f, Urządzenie dołączone do komputera nie działa. . Operacja: Wykonywanie operacji asynchronicznej Kontekst: Stan bieżący: DoSnapshotSet Error: (01/26/2020 07:18:54 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft. System Error: Odmowa dostępu. . Dziennik System: ============= Error: (01/26/2020 07:33:36 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Windows Search z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (01/26/2020 07:33:36 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Windows Search. Error: (01/26/2020 06:55:51 PM) (Source: DCOM) (EventID: 10001) (User: Poland) Description: Nie można uruchomić serwera DCOM: Microsoft.BingWeather_4.25.20211.0_x86__8wekyb3d8bbwe!App jako Niedostępny/Niedostępny. Błąd: 2147958016 Błąd wystąpił podczas uruchamiania polecenia: "C:\Program Files\WindowsApps\Microsoft.BingWeather_4.25.20211.0_x86__8wekyb3d8bbwe\Microsoft.Msn.Weather.exe" -ServerName:App.AppX2m6wj6jceb8yq7ppx1b3drf7yy51ha6f.mca Error: (01/26/2020 04:57:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Broker połączeń sieciowych zakończyła działanie; wystąpił następujący błąd: Urządzenie dołączone do komputera nie działa. Error: (01/26/2020 04:57:21 PM) (Source: DCOM) (EventID: 10010) (User: ZARZĄDZANIE NT) Description: Serwer {A47979D2-C419-11D9-A5B4-001185AD2B89} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (01/26/2020 04:55:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Usługa listy sieci zakończyła działanie; wystąpił następujący błąd: Urządzenie nie jest gotowe. Error: (01/26/2020 04:55:20 PM) (Source: DCOM) (EventID: 10010) (User: ZARZĄDZANIE NT) Description: Serwer {A47979D2-C419-11D9-A5B4-001185AD2B89} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (01/26/2020 04:53:20 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Usługa listy sieci zakończyła działanie; wystąpił następujący błąd: Urządzenie nie jest gotowe. Windows Defender: =================================== Date: 2020-01-26 19:52:28.705 Description: Produkt Program antywirusowy Windows Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.D!ml&threatid=2147749373&enterprise=0 Nazwa: Trojan:Win32/Wacatac.D!ml Identyfikator: 2147749373 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\FRST\Logs\FRST.exe; file:_C:\Users\Mateusz\AppData\Local\Microsoft\Windows\INetCache\IE\EPFFPBFG\FRST[1].exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: Poland\Mateusz Nazwa procesu: C:\Users\Mateusz\Desktop\FRST.exe Wersja analizy zabezpieczeń: AV: 1.307.3064.0, AS: 1.307.3064.0, NIS: 1.307.3064.0 Wersja aparatu: AM: 1.1.16600.7, NIS: 1.1.16600.7 Date: 2020-01-26 19:52:28.700 Description: Produkt Program antywirusowy Windows Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.D!ml&threatid=2147749373&enterprise=0 Nazwa: Trojan:Win32/Wacatac.D!ml Identyfikator: 2147749373 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\Users\Mateusz\AppData\Local\Microsoft\Windows\INetCache\IE\EPFFPBFG\FRST[1].exe Pochodzenie wykrycia: Internet Typ wykrycia: FastPath Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: Poland\Mateusz Nazwa procesu: C:\Users\Mateusz\Desktop\FRST.exe Wersja analizy zabezpieczeń: AV: 1.307.3064.0, AS: 1.307.3064.0, NIS: 1.307.3064.0 Wersja aparatu: AM: 1.1.16600.7, NIS: 1.1.16600.7 Date: 2020-01-26 19:51:29.929 Description: Produkt Program antywirusowy Windows Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.C!ml&threatid=2147749372&enterprise=0 Nazwa: Trojan:Win32/Wacatac.C!ml Identyfikator: 2147749372 Ważność: Poważny Kategoria: Koń trojański Ścieżka: file:_C:\Users\Mateusz\Desktop\FRST.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: FastPath Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: Poland\Mateusz Nazwa procesu: C:\Windows\explorer.exe Wersja analizy zabezpieczeń: AV: 1.307.3064.0, AS: 1.307.3064.0, NIS: 1.307.3064.0 Wersja aparatu: AM: 1.1.16600.7, NIS: 1.1.16600.7 ==================== Statystyki pamięci =========================== BIOS: LENOVO A2CN45WW(V2.13) 08/04/2016 Płyta główna: LENOVO Lancer 5B2 Procesor: AMD A6-6310 APU with AMD Radeon R4 Graphics Procent pamięci w użyciu: 80% Całkowita pamięć fizyczna: 2540.36 MB Dostępna pamięć fizyczna: 500.29 MB Całkowita pamięć wirtualna: 3756.36 MB Dostępna pamięć wirtualna: 1144.92 MB ==================== Dyski ================================ Drive c: () (Fixed) (Total:269.47 GB) (Free:230.45 GB) NTFS Drive d: () (Fixed) (Total:195.31 GB) (Free:174.74 GB) NTFS \\?\Volume{a3681df7-33cc-11ea-aadb-806e6f6e6963}\ () (Fixed) (Total:0.98 GB) (Free:0.56 GB) NTFS ==================== MBR & Tablica partycji ==================== ========================================================== Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: D9FA2484) Partition 1: (Active) - (Size=1000 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=195.3 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=269.5 GB) - (Type=07 NTFS) ==================== Koniec Addition.txt =======================