FRST.txt

prośba o analizę FRST, jakiś uciążliwy proces DLL

podczas uruchamiania widoczne jakieś Bubble jako proces dll, odczuwalne spowolnienie pracy systemu. Prośba o analizę FRST.

Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x86) Wersja: 01.09.2018 03
Uruchomiony przez Arek (administrator) ACER (07-09-2018 11:16:14)
Uruchomiony z G:\ODWIRUSOWANIE2404\32
Załadowane profile: Arek & postgres (Dostępne profile: Arek & postgres)
Platform: Microsoft Windows 10 Pro Wersja 1511 10586.71 (X86) Język: Polski (Polska)
Internet Explorer Wersja 11 (Domyślna przeglądarka: " C:\Users\Arek\AppData\Local\Chromium\Application\chrome.exe " -- " %1 " )
Tryb startu: Normal
Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Procesy (filtrowane) =================

(Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.)

(Conexant Systems, Inc.) C:\Windows\System32\drivers\XAudio.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
(Bitdefender) C:\Program Files\Bitdefender Agent\ProductAgentService.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\pg_ctl.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Postgres\bin\postgres.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

==================== Rejestr (filtrowane) ===========================

(Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.)

HKLM\...\Run: [SynTPEnh] = & gt; C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [3531952 2015-08-21] (Synaptics Incorporated)
HKLM\...\Run: [InstallerLauncher] = & gt; " C:\Program Files\Common Files\Bitdefender\SetupInformation\{09FE2C2E-BB0D-4848-A706-AA244FA25FEA}\setuplauncher.exe " /run: " C:\Program Files\Common Files\Bitdefender\SetupInformation\{09FE2C2E-BB0D-48 (dane wartości zawierają 36 znaków więcej).
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE - & gt;
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE - & gt;
HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\...\Run: [GoogleChromeAutoLaunch_CF8087D391BF9923F210702354BF6ED6] = & gt; C:\Users\Arek\AppData\Local\Chromium\Application\chrome.exe [667136 2015-08-11] (The Chromium Authors)
HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\...\Run: [Agent Portfela Bitdefender] = & gt; " C:\Program Files\Bitdefender\Bitdefender 2016\bdwtxag.exe "
HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\...\MountPoints2: {0bb072a1-b2b0-11e8-ab7e-001c26c3e613} - " F:\LaunchU3.exe " -a
HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\Control Panel\Desktop\\SCRNSAVE.EXE - & gt;
HKU\S-1-5-21-3402518616-1825306349-2235242046-1005\...\RunOnce: [WAB Migrate] = & gt; C:\Program Files\Windows Mail\wab.exe [515072 2015-10-30] (Microsoft Corporation)
HKU\S-1-5-21-3402518616-1825306349-2235242046-1005\Control Panel\Desktop\\SCRNSAVE.EXE - & gt;
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE - & gt;

==================== Internet (filtrowane) ====================

(Załączenie wejścia w fixlist, w przypadku gdy jest to obiekt rejestru, spowoduje usunięcie go z rejestru lub przywrócenie jego domyślnej postaci.)

Hosts: W pliku Hosts jest więcej niż jedno wejście. Sprawdź sekcję Hosts w Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{8be4fd0f-7a1b-41e3-98ad-5b6606fe28fe}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{8be4fd0f-7a1b-41e3-98ad-5b6606fe28fe}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{d0eea6f5-f7a7-4aed-bc23-e10f1037c490}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{d0eea6f5-f7a7-4aed-bc23-e10f1037c490}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{fd4a322f-59de-4edd-a7ba-1c60ce8a93be}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{fd4a322f-59de-4edd-a7ba-1c60ce8a93be}: [DhcpNameServer] 82.163.142.7

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM - & gt; {2f23ab71-4ac6-41f2-a955-ea576e553146} URL =
SearchScopes: HKU\S-1-5-21-3402518616-1825306349-2235242046-1000 - & gt; {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
BHO: Canon Easy-WebPrint EX BHO - & gt; {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - & gt; C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll [2010-11-08] (CANON INC.)
BHO: Java(tm) Plug-In SSV Helper - & gt; {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - & gt; C:\Program Files\Java\jre1.8.0_51\bin\ssv.dll [2015-07-19] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - & gt; {DBC80044-A445-435b-BC74-9C25C1C588A9} - & gt; C:\Program Files\Java\jre1.8.0_51\bin\jp2ssv.dll [2015-07-19] (Oracle Corporation)
Toolbar: HKLM - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll [2010-11-08] (CANON INC.)
Toolbar: HKU\S-1-5-21-3402518616-1825306349-2235242046-1000 - & gt; Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll [2010-11-08] (CANON INC.)
Toolbar: HKU\S-1-5-21-3402518616-1825306349-2235242046-1000 - & gt; Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

FireFox:
========
FF ProfilePath: C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\xxf3r1o1.default [2015-12-22]
FF NewTab: Mozilla\Firefox\Profiles\xxf3r1o1.default - & gt; about:newtab
FF Extension: (20-20 3D Viewer - IKEA) - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\xxf3r1o1.default\Extensions\2020Player_IKEA@2020Technologies.com [2012-05-29] [Przestarzałe] [Brak podpisu cyfrowego]
FF Extension: ( " Bubble Browser) - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\xxf3r1o1.default\Extensions\@FCEC022C4DA9D4C0C7AAA4688981686AFCEC.xpi [2015-12-17] [Przestarzałe] [Brak podpisu cyfrowego]
FF Extension: (PEKAO S.A. Sign Plugin) - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\xxf3r1o1.default\Extensions\SignPlugin@pekao.pl [2011-05-10] [Przestarzałe] [Brak podpisu cyfrowego]
FF Extension: (LeechBlock) - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\xxf3r1o1.default\Extensions\{a95d8332-e4b4-6e7f-98ac-20b733364387}.xpi [2015-12-07] [Przestarzałe]
FF Extension: (Brak nazwy) - C:\Program Files\Bitdefender\Bitdefender 2016\bdwteff [nie znaleziono]
FF HKLM\...\Firefox\Extensions: [{BF2F463A-FBB4-4A49-8917-A322A5D6C224}] - C:\Program Files\shopperz161220151502\Firefox\{BF2F463A-FBB4-4A49-8917-A322A5D6C224}.xpi = & gt; nie znaleziono
FF Plugin: @adobe.com/FlashPlayer - & gt; C:\WINDOWS\system32\Macromed\Flash\NPSWF32_22_0_0_209.dll [2016-08-26] ()
FF Plugin: @canon.com/EPPEX - & gt; C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL [2010-04-14] (CANON INC.)
FF Plugin: @java.com/DTPlugin,version=11.51.2 - & gt; C:\Program Files\Java\jre1.8.0_51\bin\dtplugin\npDeployJava1.dll [2015-07-19] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.51.2 - & gt; C:\Program Files\Java\jre1.8.0_51\bin\plugin2\npjp2.dll [2015-07-19] (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - & gt; c:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-12] ( Microsoft Corporation)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!FCEC022C4DA9D4C0C7AAA4688981686AFCEC.js [2015-12-16] & lt; ==== UWAGA
FF ExtraCheck: C:\Program Files\mozilla firefox\FCEC022C4DA9D4C0C7AAA4688981686AFCEC [2015-12-16] & lt; ==== UWAGA

Chrome:
=======
CHR DefaultProfile: Default
CHR HomePage: Default - & gt; hxxp://www.google.com/
CHR StartupUrls: Default - & gt; " hxxps://www.google.com/ "
CHR Profile: C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default [2015-12-22]
CHR Extension: (Dokumenty Google) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-16]
CHR Extension: (Dysk Google) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-16]
CHR Extension: (YouTube) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-16]
CHR Extension: (Google Search) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-16]
CHR Extension: (Bitdefender Wallet) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhhejlifdlcgcmogbggeomfodgklfaem [2015-12-18]
CHR Extension: (Dokumenty Google offline) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-12-16]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-12-16]
CHR Extension: (Gmail) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-16]
CHR Extension: (Bubble Browser) - C:\Users\Arek\AppData\Local\Bubble Browser\Component [2015-12-22]
CHR HKLM\...\Chrome\Extension: [epchdkphlhhkhjndlcjhoefomdhhkbgc] - C:\Program Files\Red Sky\BartVPN\bartvpn-button-chrome.crx & lt; nie znaleziono & gt;
CHR HKU\S-1-5-21-3402518616-1825306349-2235242046-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx

==================== Usługi (filtrowane) ====================

(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)

S3 FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [651720 2012-01-08] (Macrovision Europe Ltd.) [Brak podpisu cyfrowego]
S3 IJPLMSVC; C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE [116104 2010-04-05] ()
R2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [887352 2016-01-28] (Bitdefender)
R2 SynTPEnhService; C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe [218784 2015-08-21] (Synaptics Incorporated)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [280376 2015-10-30] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23256 2015-10-30] (Microsoft Corporation)
R2 pgsql-8.3; C:\Postgres\bin\pg_ctl.exe runservice -w -N " pgsql-8.3 " -D " C:\Postgres\data\ "

===================== Sterowniki (filtrowane) ======================

(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)

R3 BCM43XX; C:\WINDOWS\System32\drivers\bcmwl63l.sys [4715008 2015-10-30] (Broadcom Corporation)
S3 flash; C:\Windows\system32\drivers\flash.sys [8064 2005-11-17] () [Brak podpisu cyfrowego]
R1 SCDEmu; C:\WINDOWS\system32\Drivers\SCDEmu.sys [59388 2009-11-08] (PowerISO Computing, Inc.) [Brak podpisu cyfrowego]
S3 tap0901; C:\WINDOWS\System32\DRIVERS\tap0901.sys [26624 2011-12-15] (The OpenVPN Project)
S3 WdBoot; C:\WINDOWS\system32\drivers\WdBoot.sys [37400 2015-10-30] (Microsoft Corporation)
S3 WdFilter; C:\WINDOWS\system32\drivers\WdFilter.sys [246104 2015-10-30] (Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [98648 2015-10-30] (Microsoft Corporation)
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath

==================== NetSvcs (filtrowane) ===================

(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)


==================== Jeden miesiąc - utworzone pliki i foldery ========

(Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.)

2018-09-07 11:16 - 2018-09-07 11:16 - 000000000 ___DC C:\FRST
2018-09-07 06:01 - 2015-10-30 01:44 - 000258560 ____C (Microsoft Corporation) C:\sethc.exe

==================== Jeden miesiąc - zmodyfikowane pliki i foldery ========

(Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.)

2018-09-07 11:18 - 2015-12-17 15:38 - 000000432 ____C C:\WINDOWS\Tasks\CIMT_S-1-5-21-3402518616-1825306349-2235242046-1000.job
2018-09-07 11:15 - 2015-12-21 13:26 - 000006584 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2018-09-07 11:15 - 2015-10-30 11:12 - 001456742 _____ C:\WINDOWS\system32\perfh015.dat
2018-09-07 11:15 - 2015-10-30 11:12 - 000361564 _____ C:\WINDOWS\system32\perfc015.dat
2018-09-07 11:10 - 2015-12-21 14:00 - 000000006 ___HC C:\WINDOWS\Tasks\SA.DAT
2018-09-07 11:09 - 2015-10-30 01:13 - 000524288 ___SH C:\WINDOWS\system32\config\BBI
2018-09-07 11:07 - 2016-08-26 22:04 - 000000000 ____D C:\ProgramData\518b2575-3ab3-1
2018-09-07 11:07 - 2016-08-26 22:04 - 000000000 ____D C:\ProgramData\518b2575-10c5-0

==================== Pliki w katalogu głównym wybranych folderów =======

2015-08-31 01:47 - 2015-08-31 01:47 - 006420480 ____C () C:\Program Files\GUTFCEE.tmp
2014-09-01 04:18 - 2015-12-18 18:12 - 000000365 ____C () C:\Users\Arek\AppData\Roaming\BBHJ
2014-09-01 04:18 - 2015-12-18 18:11 - 000001171 ____C () C:\Users\Arek\AppData\Roaming\SCOWI
2014-09-01 04:18 - 2015-12-18 18:11 - 000001171 ____C () C:\Users\Arek\AppData\Roaming\TGFW
2014-09-01 04:18 - 2015-12-18 18:11 - 000000365 ____C () C:\Users\Arek\AppData\Roaming\WFEC
2012-12-11 11:29 - 2012-12-11 11:29 - 000003584 ____C () C:\Users\Arek\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2015-01-01 06:47 - 2015-01-01 14:43 - 000000003 ____C () C:\Users\Arek\AppData\Local\proxy.log
2011-04-21 16:44 - 2015-12-09 17:10 - 000007603 ____C () C:\Users\Arek\AppData\Local\Resmon.ResmonCfg

==================== Bamital & volsnap ======================

(Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.)

C:\WINDOWS\explorer.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\winlogon.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\wininit.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\svchost.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\services.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\User32.dll = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\userinit.exe = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\rpcss.dll = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\dnsapi.dll = & gt; Plik podpisany cyfrowo
C:\WINDOWS\system32\Drivers\volsnap.sys = & gt; Plik podpisany cyfrowo

LastRegBack: 2016-08-30 22:10

==================== Koniec FRST.txt ============================