Vir v PC

[Mary]

Dobrý den,
prosím o kontrolu logu. Mám ve stolním počítači vir. Snažila jsem se ho odstranit programy Malwarebytes a Hitman Pro, který mi detekoval trojské koně. Po smazání viru mám pořád problémy s počítačem. PC se sekne a jediná možnost je restartovat ho. Po restartování se buď systém načte a PC běží nějaký čas bez problému nebo zůstane zaseklý na vítací obrazovce. Systém jsem přeinstalovala a problém se stále opakuje. Předem moc děkuji

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:57:37, on 28.01.2017
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10586.0494)


Boot mode: Normal

Running processes:
C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe
C:\Users\Mary\AppData\Roaming\Event Monitor\em.exe
C:\Users\Mary\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\Mary\AppData\Roaming\Seznam.cz\szninstall.exe
C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\szndesktop.exe
C:\Users\Mary\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files (x86)\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [seznam-listicka-distribuce] "C:\Program Files (x86)\Seznam.cz\distribution\szninstall.exe" -s -d listicka 1 szn-software-listicka cz.seznam.software.autoupdate
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Mary\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [ra3UsZU+m-.exe] C:\Users\Mary\AppData\Local\Temp\{e34-37-3d-39454-883ab-0ec1-04192}\ra3UsZU+m-.exe 1 5
O4 - HKCU\..\Run: [cz.seznam.software.autoupdate] "C:\Users\Mary\AppData\Roaming\Seznam.cz\szninstall.exe" -c
O4 - HKCU\..\Run: [cz.seznam.software.szndesktop] "C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\wszndesktop.exe" -q
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Služba Aktualizace Google (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Aktualizace Google (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8753 bytes

[Reklama]

[jerabina]

Ahoj, vítej na fóru PC-HELP!

Nějaké náznaky tam vidím, podíváme se na to.

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

- Pokud používáš jen Google Chrome , tak ATF nemusíš použít.

===================================================

Stáhni si TFC
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

===================================================

Stáhni AdwCleaner (by Xplode)

Ulož si ho na svojí plochu
Ukonči všechny programy , okna a prohlížeče
Spusť program poklepáním a klikni na „Prohledat-Scan“
Po skenu se objeví log ( jinak je uložen systémovem disku jako AdwCleaner[R?].txt), jeho obsah sem celý vlož.

===================================================

Stáhni si Malwarebytes' Anti-Malware
- Při instalaci odeber zatržítko u „Povolit bezplatnou zkušební verzi Malwarebytes' Anti-Malware Premium“
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a klikni na Skenovat nyní a
- po proběhnutí programu se ti objeví hláška vpravo dole tak klikni na Kopírovat do schránky a a vlož sem celý log.

- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).

Pokud budou problémy , spusť v nouz. režimu.

[Mary]

# AdwCleaner v6.043 - Logfile created 28/01/2017 at 15:45:23
# Updated on 27/01/2017 by Malwarebytes
# Database : 2017-01-28.1 [Server]
# Operating System : Windows 10 Pro (X64)
# Username : Mary - DESKTOP-L5HLK2S
# Running from : C:\Users\Mary\Desktop\adwcleaner_6.043.exe
# Mode: Scan
# Support : https://www.malwarebytes.com/support



***** [ Services ] *****

No malicious services found.


***** [ Folders ] *****

Folder Found: C:\ProgramData\f392400b-2717-1
Folder Found: C:\ProgramData\f392400b-2d51-0
Folder Found: C:\Users\Mary\AppData\Roaming\Event Monitor
Folder Found: C:\Program Files (x86)\pccleanplus


***** [ Files ] *****

No malicious files found.


***** [ DLL ] *****

No malicious DLLs found.


***** [ WMI ] *****

No malicious keys found.


***** [ Shortcuts ] *****

No infected shortcut found.


***** [ Scheduled Tasks ] *****

Task Found: RunAtStartup
Task Found: RunAtStartup
Task Found: PPI Update
Task Found: Traffic Exchange Guardian
Task Found: Traffic Exchange Updater
Task Found: Traffic Exchange
Task Found: Traffic Exchange Guard


***** [ Registry ] *****

Key Found: HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\PC
Key Found: HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Event Monitor
Key Found: HKCU\Software\PC
Key Found: HKCU\Software\Event Monitor
Key Found: HKLM\SOFTWARE\Jawego
Key Found: HKLM\SOFTWARE\PC
Key Found: HKLM\SOFTWARE\Event Monitor
Key Found: [x64] HKCU\Software\PC
Key Found: [x64] HKCU\Software\Event Monitor


***** [ Web browsers ] *****

No malicious Firefox based browser items found.
No malicious Chromium based browser items found.

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [1746 Bytes] - [28/01/2017 15:45:23]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1819 Bytes] ##########

[Mary]

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 28.01.17
Čas skenování: 15:53
Logovací soubor:
Správce: Ano

-Informace o softwaru-
Verze: 3.0.6.1469
Verze komponentů: 1.0.50
Aktualizovat verzi balíku komponent: 1.0.1121
Licence: Bezplatný

-Systémová informace-
OS: Windows 10
CPU: x64
Systém souborů: NTFS
Uživatel: DESKTOP-L5HLK2S\Mary

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 355179
Uplynulý čas: 1 min, 15 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Povoleno
Potenciálně nežádoucí modifikace: Povoleno

-Podrobnosti skenování-
Proces: 1
PUP.Optional.EventMonitor, C:\USERS\MARY\APPDATA\ROAMING\EVENT MONITOR\EM.EXE, Žádná uživatelská akce, [1696], [117244],1.0.1121

Modul: 2
PUP.Optional.EventMonitor, C:\USERS\MARY\APPDATA\ROAMING\EVENT MONITOR\EM.EXE, Žádná uživatelská akce, [1696], [117244],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\isxdl.dll, Žádná uživatelská akce, [1696], [331037],1.0.1121

Klíč registru: 19
PUP.Optional.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\PPI Update, Žádná uživatelská akce, [887], [182947],1.0.1121
PUP.Optional.SysTweak.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\RunAtStartup, Žádná uživatelská akce, [3164], [351913],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange Guard, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange Guardian, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange Updater, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 1, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 2, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 3, Žádná uživatelská akce, [694], [333862],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}, Žádná uživatelská akce, [694], [335317],1.0.1121
PUP.Optional.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{20F42270-ABA3-4BEA-811C-0A66244FDF0D}, Žádná uživatelská akce, [887], [182946],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{304A0EA0-F27A-47C8-8717-71516BBCC8AE}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{50A9E011-0F4A-4BAC-8574-19B793392B02}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{6C47D715-0B8E-4A64-B188-6E9DA89B2C98}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8FCDCA7F-3D2C-4D09-8ACB-CAA4DB7D04E8}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{9A311687-E570-464B-A662-C5E78493F7EB}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A8090EA3-CB7D-4395-A1FD-36F50E23917A}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F4B2967C-C400-4DB3-BC74-BAB03B5DB0A5}, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.SysTweak.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{3ED24C45-88A9-43D4-9370-E5A2E7ABB4FC}, Žádná uživatelská akce, [3164], [351914],1.0.1121

Hodnota v registru: 11
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}|CONTACT, Žádná uživatelská akce, [694], [333851],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}|URLINFOABOUT, Žádná uživatelská akce, [694], [335317],1.0.1121
PUP.Optional.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{20F42270-ABA3-4BEA-811C-0A66244FDF0D}|PATH, Žádná uživatelská akce, [887], [182946],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{304A0EA0-F27A-47C8-8717-71516BBCC8AE}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{50A9E011-0F4A-4BAC-8574-19B793392B02}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{6C47D715-0B8E-4A64-B188-6E9DA89B2C98}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8FCDCA7F-3D2C-4D09-8ACB-CAA4DB7D04E8}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{9A311687-E570-464B-A662-C5E78493F7EB}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A8090EA3-CB7D-4395-A1FD-36F50E23917A}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F4B2967C-C400-4DB3-BC74-BAB03B5DB0A5}|PATH, Žádná uživatelská akce, [694], [333861],1.0.1121
PUP.Optional.SysTweak.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{3ED24C45-88A9-43D4-9370-E5A2E7ABB4FC}|PATH, Žádná uživatelská akce, [3164], [351914],1.0.1121

Data registrů: 5
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|NameServer, Žádná uživatelská akce, [46], [-1],0.0.0
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|DhcpNameServer, Žádná uživatelská akce, [46], [-1],0.0.0
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{d872bf74-2e4a-4273-9134-1acfe46fa8b7}|NameServer, Žádná uživatelská akce, [46], [-1],0.0.0
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{d89ad79b-ac8a-4d2d-ade4-2190ebbc1012}|NameServer, Žádná uživatelská akce, [46], [-1],0.0.0
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{d89ad79b-ac8a-4d2d-ade4-2190ebbc1012}|DhcpNameServer, Žádná uživatelská akce, [46], [-1],0.0.0

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 4
PUP.Optional.DNSUnlocker.ACMB2, C:\PROGRAMDATA\f392400b-2717-1, Žádná uživatelská akce, [46], [182288],1.0.1121
PUP.Optional.DNSUnlocker.ACMB2, C:\PROGRAMDATA\f392400b-2d51-0, Žádná uživatelská akce, [46], [182288],1.0.1121
PUP.Optional.PCCleanPlus, C:\PROGRAM FILES (X86)\pccleanplus, Žádná uživatelská akce, [62], [363175],1.0.1121
PUP.Optional.EventMonitor, C:\USERS\MARY\APPDATA\ROAMING\EVENT MONITOR, Žádná uživatelská akce, [1696], [331037],1.0.1121

Soubor: 18
PUP.Optional.DNSUnlocker.ACMB2, C:\ProgramData\f392400b-2717-1\BIT5FEA.tmp, Žádná uživatelská akce, [46], [182288],1.0.1121
PUP.Optional.DNSUnlocker.ACMB2, C:\ProgramData\f392400b-2d51-0\BIT60B6.tmp, Žádná uživatelská akce, [46], [182288],1.0.1121
PUP.Optional.EventMonitor, C:\USERS\MARY\APPDATA\ROAMING\EVENT MONITOR\EM.EXE, Žádná uživatelská akce, [1696], [117244],1.0.1121
PUP.Optional.PCCleanPlus, C:\Program Files (x86)\pccleanplus\uninstaller.exe.config, Žádná uživatelská akce, [62], [363175],1.0.1121
PUP.Optional.EventMonitor, C:\USERS\MARY\APPDATA\ROAMING\EVENT MONITOR\ENG_EM.INI, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\French_em.ini, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\German_em.ini, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\ininotfound0.ini, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\isxdl.dll, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\japan_em.ini, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\log_01-28-2017.log, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.EventMonitor, C:\Users\Mary\AppData\Roaming\Event Monitor\update.ini, Žádná uživatelská akce, [1696], [331037],1.0.1121
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\TRAFFIC EXCHANGE V2 - 1.JOB, Žádná uživatelská akce, [694], [333879],1.0.1121
PUP.Optional.Downloader, C:\WINDOWS\SYSTEM32\TASKS\PPI UPDATE, Žádná uživatelská akce, [887], [182944],1.0.1121
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\TRAFFIC EXCHANGE UPDATER.JOB, Žádná uživatelská akce, [694], [333879],1.0.1121
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\Traffic Exchange v2 - 2.job, Žádná uživatelská akce, [694], [333879],1.0.1121
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\Traffic Exchange v2 - 3.job, Žádná uživatelská akce, [694], [333879],1.0.1121
PUP.Optional.SysTweak.Generic, C:\WINDOWS\SYSTEM32\TASKS\RUNATSTARTUP, Žádná uživatelská akce, [3164], [351912],1.0.1121

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[jerabina]

Spusť znovu AdwCleaner (u Windows Vista či Windows7, klikni na AdwCleaner pravým a vyber „Spustit jako správce“
klikni na „Prohledat-Scan“, po prohledání klikni na „ Vymazat-Clean“

Program provede opravu, po automatickém restartu neukáže log (C:\AdwCleaner [C?].txt) , jeho obsah sem celý vlož.

Spusť znovu MbAM a dej Skenovat nyní
- po proběhnutí programu se ti objeví hláška tak klikni na „Vše do karantény(smazat vybrané)“ a na „Exportovat záznam“ a vyber „textový soubor“ , soubor nějak pojmenuj a někam ho ulož. Zkopíruj se celý obsah toho logu.

Stáhni si Junkware Removal Tool by Thisisu

na svojí plochu.

Deaktivuj si svůj antivirový program. Pravým tl. myši klikni na JRT.exe a vyber „spustit jako správce“. Pro pokračování budeš vyzván ke stisknutí jakékoliv klávesy. Na nějakou klikni.
Začne skenování programu. Skenování může trvat dloho , podle množství nákaz. Po ukončení skenu se objeví log (JRT.txt) , který se uloží na ploše.
Zkopíruj sem prosím celý jeho obsah.

Stáhni si RogueKiller by Adlice Software
32bit.:
http://www.adlice.com/download/roguekil ... HlwZT14ODY
64bit.:
http://www.adlice.com/download/roguekil ... HlwZT14NjQ
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7,8,10 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- klikni na „Start Scan“. V novém okně nic neměň a klikni dole na „Start Scan“
- Program skenuje procesy PC. Po proskenování klikni na „Open Report “ , v okně pak na „Open TXT“ a celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.
-pokud bude mít log více než 60.000 znaků , rozděl ho a vlož do více příspěvků

[Mary]

# AdwCleaner v6.043 - Logfile created 28/01/2017 at 18:56:57
# Updated on 27/01/2017 by Malwarebytes
# Database : 2017-01-28.1 [Local]
# Operating System : Windows 10 Pro (X64)
# Username : Mary - DESKTOP-L5HLK2S
# Running from : C:\Users\Mary\Desktop\adwcleaner_6.043.exe
# Mode: Clean
# Support : https://www.malwarebytes.com/support



***** [ Services ] *****



***** [ Folders ] *****

[-] Folder deleted: C:\ProgramData\f392400b-2717-1
[-] Folder deleted: C:\ProgramData\f392400b-2d51-0
[-] Folder deleted: C:\Users\Mary\AppData\Roaming\Event Monitor
[-] Folder deleted: C:\Program Files (x86)\pccleanplus


***** [ Files ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Shortcuts ] *****



***** [ Scheduled Tasks ] *****

[-] Task deleted: RunAtStartup
[-] Task deleted: RunAtStartup
[-] Task deleted: PPI Update
[-] Task deleted: Traffic Exchange Guardian
[-] Task deleted: Traffic Exchange Updater
[-] Task deleted: Traffic Exchange
[-] Task deleted: Traffic Exchange Guard


***** [ Registry ] *****

[-] Key deleted: HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\PC
[-] Key deleted: HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Event Monitor
[#] Key deleted on reboot: HKCU\Software\PC
[#] Key deleted on reboot: HKCU\Software\Event Monitor
[-] Key deleted: HKLM\SOFTWARE\Jawego
[-] Key deleted: HKLM\SOFTWARE\PC
[-] Key deleted: HKLM\SOFTWARE\Event Monitor
[#] Key deleted on reboot: [x64] HKCU\Software\PC
[#] Key deleted on reboot: [x64] HKCU\Software\Event Monitor


***** [ Web browsers ] *****



*************************

:: "Tracing" keys deleted
:: Winsock settings cleared

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1738 Bytes] - [28/01/2017 18:56:57]
C:\AdwCleaner\AdwCleaner[S0].txt - [1906 Bytes] - [28/01/2017 15:45:23]
C:\AdwCleaner\AdwCleaner[S1].txt - [1978 Bytes] - [28/01/2017 18:56:43]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [1957 Bytes] ##########

[Mary]

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 28.01.17
Čas skenování: 19:00
Logovací soubor: malwarebytes 2.txt
Správce: Ano

-Informace o softwaru-
Verze: 3.0.6.1469
Verze komponentů: 1.0.50
Aktualizovat verzi balíku komponent: 1.0.1122
Licence: Bezplatný

-Systémová informace-
OS: Windows 10
CPU: x64
Systém souborů: NTFS
Uživatel: DESKTOP-L5HLK2S\Mary

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 355649
Uplynulý čas: 1 min, 37 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Povoleno
Potenciálně nežádoucí modifikace: Povoleno

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 7
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 1, Smazání při restartu, [694], [333862],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 2, Smazání při restartu, [694], [333862],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Traffic Exchange v2 - 3, Smazání při restartu, [694], [333862],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}, Smazání při restartu, [694], [335317],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{304A0EA0-F27A-47C8-8717-71516BBCC8AE}, Smazání při restartu, [694], [333861],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8FCDCA7F-3D2C-4D09-8ACB-CAA4DB7D04E8}, Smazání při restartu, [694], [333861],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F4B2967C-C400-4DB3-BC74-BAB03B5DB0A5}, Smazání při restartu, [694], [333861],1.0.1122

Hodnota v registru: 5
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}|CONTACT, Smazání při restartu, [694], [333851],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{92C1F287-B8A1-415C-B872-4000F57C055A}|URLINFOABOUT, Smazání při restartu, [694], [335317],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{304A0EA0-F27A-47C8-8717-71516BBCC8AE}|PATH, Smazání při restartu, [694], [333861],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8FCDCA7F-3D2C-4D09-8ACB-CAA4DB7D04E8}|PATH, Smazání při restartu, [694], [333861],1.0.1122
PUP.Optional.OnlineIO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F4B2967C-C400-4DB3-BC74-BAB03B5DB0A5}|PATH, Smazání při restartu, [694], [333861],1.0.1122

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 5
PUP.Optional.InstallCore, C:\$RECYCLE.BIN\S-1-5-21-1664230912-4152899523-1192634744-1001\$R2YG48C.EXE, Smazání při restartu, [8], [78708],1.0.1122
PUP.Optional.InstallCore, C:\$RECYCLE.BIN\S-1-5-21-1664230912-4152899523-1192634744-1001\$RM71MWI.EXE, Smazání při restartu, [8], [78708],1.0.1122
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\TRAFFIC EXCHANGE V2 - 2.JOB, Smazání při restartu, [694], [333879],1.0.1122
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\TRAFFIC EXCHANGE V2 - 1.JOB, Smazání při restartu, [694], [333879],1.0.1122
PUP.Optional.OnlineIO, C:\WINDOWS\TASKS\Traffic Exchange v2 - 3.job, Smazání při restartu, [694], [333879],1.0.1122

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[Mary]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.0 (12.05.2016)
Operating System: Windows 10 Pro x64
Ran by Mary (Administrator) on 28.01.2017 at 19:06:12,34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0




Registry: 0





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 28.01.2017 at 19:08:20,19
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



RogueKiller V12.9.5.0 (x64) [Jan 23 2017] (Free) by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Webová stránka : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Operační systém : Windows 10 (10.0.10586) 64 bits version
Spuštěno : Normální režim
Uživatel : Mary [Práva správce]
Started from : C:\Users\Mary\Desktop\RogueKillerX64.exe
Mód : Prohledat -- Datum : 01/28/2017 19:11:15 (Duration : 00:17:21)

¤¤¤ Procesy : 2 ¤¤¤
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] KMS-R@1n.exe(1876) -- C:\Windows\KMS-R@1n.exe[-] -> Nalezeno
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (SVC) KMS-R@1n -- C:\Windows\KMS-R@1n.exe[-] -> Nalezeno

¤¤¤ Registry : 5 ¤¤¤
[Suspicious.Path] (X64) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Windows\CurrentVersion\Run | ra3UsZU+m-.exe : C:\Users\Mary\AppData\Local\Temp\{e34-37-3d-39454-883ab-0ec1-04192}\ra3UsZU+m-.exe 1 5 [x] -> Nalezeno
[Suspicious.Path] (X86) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Windows\CurrentVersion\Run | ra3UsZU+m-.exe : C:\Users\Mary\AppData\Local\Temp\{e34-37-3d-39454-883ab-0ec1-04192}\ra3UsZU+m-.exe 1 5 [x] -> Nalezeno
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Nalezeno
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {07DDD057-3F51-478F-ABC7-0F12BA84B7FE} : v2.25|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [-] -> Nalezeno
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {0540195E-4C6E-42D0-9F26-AC6B8C91E181} : v2.25|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [-] -> Nalezeno

¤¤¤ Úlohy : 0 ¤¤¤

¤¤¤ Soubory : 1 ¤¤¤
[PUP.HackTool][Soubor] C:\Windows\KMS-R@1n.exe -> Nalezeno

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Soubor HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Nahrán) ¤¤¤

¤¤¤ Webové prohlížeče : 0 ¤¤¤

¤¤¤ Kontrola MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD10EZEX-75WN4A0 ATA Device +++++
--- User ---
[MBR] ccb8bdbc99a59ce281cb6e43836dbce9
[BSP] 38e05ceb1a1fd97e295ceee238c75238 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 500 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1026048 | Size: 953367 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic USB SD Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive2: Generic USB CF Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive3: Generic USB SM Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive4: Generic USB MS Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive5: EPSON Stylus Storage USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

[jerabina]

Zavři všechny programy a prohlížeče. Deaktivuj antivir a firewall.
Prosím, odpoj všechny USB (kromě myši s klávesnice) nebo externí disky z počítače před spuštěním tohoto programu.
Spusť znovu RogueKiller ( Pro Windows Vista nebo Windows 7, klepni pravým a vyber "Spustit jako správce", ve Windows XP poklepej ke spuštění).
- Počkej, až Prescan dokončí práci...
- Pak klikni na "Prohledat " ,po jeho skončení:
- V záložkách (Registry , Tasks , Web Browser apod.) vše zatrhni (dej zatržítka)
(musíš dát myší zatržítko do toho čtverečku vlevo od registru ap.)
- Klikni na "Smazat"
- Počkej, dokud Status box nezobrazí " Mazání dokončeno "
- Klikni na "Zpráva " a zkopíruj a vlož obsah té zprávy prosím sem. Log je možno nalézt v RKreport [číslo]. txt na ploše.
- Zavři RogueKiller

Vypni antivir
Stáhni
Zoek.exe

a uloz si ho na plochu.
Zavři všechny ostatní programy , okna i prohlížeče.
Spusť Zoek.exe ( u win vista , win7, 8 klikni na něj pravým a vyber : „Spustit jako správce“
- pozor , náběh programu může trvat déle.

Do okna programu vlož skript níže:

Kód: Vybrat vše

autoclean;
emptyclsid;
iedefaults;
FFdefaults;
CHRdefaults;
emptyalltemp;
resethosts;

klikni na Run Script
Program provede sken , opravu, sken i oprava může trvat i více minut ,je třeba posečkat do konce. Do okna neklikej!
Program nabídne restart , potvrď .

Po restartu se může nějaký čas ukázat pouze černá plocha , to je normální. Je třeba počkat až se vytvoří log. Ten si můžeš uložit třeba do dokumentů , jinak se sám ukládá do:
C:\zoek-results.log
Zkopíruj sem celý obsah toho logu.

Prosím stáhni příslušnou verzi programu pro Tvůj systém 32-bit/64-bit Farbar Recovery Scan Tool (FRST)
32bit.:
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/
64bit.:
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/
a ulož jej na plochu. ,pak spusť FRST jako správce
Potvrď způsob užití.
Neměň žádné z výchozích nastavení a klikni na položku „Scan“ („Skenovat“) .Když je skenování dokončeno, ukážou se dva logy = FRST.txt a Addition.txt a uloží se na ploše. Prosím zkopíruj sem celý jejich obsah.

[Mary]

RogueKiller V12.9.5.0 (x64) [Jan 23 2017] (Free) by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Webová stránka : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Operační systém : Windows 10 (10.0.10586) 64 bits version
Spuštěno : Normální režim
Uživatel : Mary [Práva správce]
Started from : C:\Users\Mary\Desktop\RogueKillerX64.exe
Mód : Smazat -- Datum : 01/28/2017 20:14:45 (Duration : 00:13:28)

¤¤¤ Procesy : 2 ¤¤¤
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] KMS-R@1n.exe(1944) -- C:\Windows\KMS-R@1n.exe[-] -> Zastaveno [TermProc]
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (SVC) KMS-R@1n -- C:\Windows\KMS-R@1n.exe[-] -> ERROR [6d]

¤¤¤ Registry : 7 ¤¤¤
[Suspicious.Path] (X64) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Windows\CurrentVersion\Run | ra3UsZU+m-.exe : C:\Users\Mary\AppData\Local\Temp\{e34-37-3d-39454-883ab-0ec1-04192}\ra3UsZU+m-.exe 1 5 [x] -> Smazáno
[Suspicious.Path] (X86) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Windows\CurrentVersion\Run | ra3UsZU+m-.exe : C:\Users\Mary\AppData\Local\Temp\{e34-37-3d-39454-883ab-0ec1-04192}\ra3UsZU+m-.exe 1 5 [x] -> ERROR [2]
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Smazáno
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.seznam.cz/?clid=16194 -> Nahrazeno (http://go.microsoft.com/fwlink/p/?LinkId=255141)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1664230912-4152899523-1192634744-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.seznam.cz/?clid=16194 -> Nahrazeno (http://go.microsoft.com/fwlink/p/?LinkId=255141)
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {07DDD057-3F51-478F-ABC7-0F12BA84B7FE} : v2.25|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [-] -> Smazáno
[PUP.HackTool|Suspicious.Path|VT.HackTool/Win32.KMSAuto.C1585389] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {0540195E-4C6E-42D0-9F26-AC6B8C91E181} : v2.25|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [-] -> Smazáno

¤¤¤ Úlohy : 0 ¤¤¤

¤¤¤ Soubory : 1 ¤¤¤
[PUP.HackTool][Soubor] C:\Windows\KMS-R@1n.exe -> Smazáno

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Soubor HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Nahrán) ¤¤¤

¤¤¤ Webové prohlížeče : 0 ¤¤¤

¤¤¤ Kontrola MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD10EZEX-75WN4A0 ATA Device +++++
--- User ---
[MBR] ccb8bdbc99a59ce281cb6e43836dbce9
[BSP] 38e05ceb1a1fd97e295ceee238c75238 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 500 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1026048 | Size: 953367 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive2: Generic USB SD Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive3: Generic USB CF Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive4: Generic USB SM Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

+++++ PhysicalDrive5: Generic USB MS Reader USB Device +++++
Error reading User MBR! ([15] Za?ízení není p?ipraveno. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Po?adavek není podporován. )

[Mary]

Zoek.exe v5.0.0.1 Updated 19-September-2016
Tool run by Mary on 28.01.2017 at 20:31:40,85.
Microsoft Windows 10 Pro 10.0.10586 x64
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\Mary\Desktop\zoek.exe [Scan all users] [Script inserted]

==== System Restore Info ======================

28.01.2017 20:32:12 Zoek.exe System Restore Point Created Successfully.

==== Reset Hosts File ======================

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

==== Empty Folders Check ======================

C:\PROGRA~3\Comms deleted successfully
C:\PROGRA~3\SoftwareDistribution deleted successfully
C:\Users\Mary\AppData\Local\ActiveSync deleted successfully
C:\Users\Mary\AppData\Local\PeerDistRepub deleted successfully
C:\Users\Mary\AppData\Local\VirtualStore deleted successfully
C:\Windows\serviceprofiles\networkservice\AppData\Local\PeerDistPub deleted successfully
C:\Windows\serviceprofiles\networkservice\AppData\Local\PeerDistRepub deleted successfully

==== Deleting CLSID Registry Keys ======================


==== Deleting CLSID Registry Values ======================


==== Deleting Services ======================


==== Deleting Files \ Folders ======================

C:\PROGRA~3\Package Cache deleted
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Search.lnk deleted
C:\windows\SysNative\GroupPolicy\Machine deleted
C:\windows\SysNative\GroupPolicy\User deleted

==== Fake Chromium Profiles Check ======================

Fake profile C:\Users\Default\AppData\Local\Google\Chrome deleted

==== Chromium Look ======================


Chrome Media Router - Mary\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm

==== Chromium Fix ======================

C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_c.betrad.com_0.localstorage deleted successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_c.betrad.com_0.localstorage-journal deleted successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d10lpsik1i8c69.cloudfront.net_0.localstorage deleted successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d10lpsik1i8c69.cloudfront.net_0.localstorage-journal deleted successfully

==== Set IE to Default ======================

Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/p/?LinkId=255141"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
No DefaultScope Set For HKCU

New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/p/?LinkId=255141"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{012E1000-F331-11DB-8314-0800200C9A66}"

==== All HKLM and HKCU SearchScopes ======================

HKLM\SearchScopes "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
HKLM\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} - http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
HKLM\Wow6432Node\SearchScopes "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
HKLM\Wow6432Node\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} - http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
HKCU\SearchScopes "DefaultScope"="{012E1000-F331-11DB-8314-0800200C9A66}"
HKCU\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66} - http://www.google.com/search?q={searchTerms}
HKCU\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} - http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
HKCU\SearchScopes\{09C11F59-3BB3-44B3-8A2D-EF04B12551D0} - http://www.zbozi.cz/?q={searchTerms}&r=campmoz&sourceid=QuickSearch_16194
HKCU\SearchScopes\{332EBB77-D095-492D-A751-76864766221E} - http://slovnik.seznam.cz/?q={searchTerms}&lang=en_cz&sourceid=QuickSearch_16194
HKCU\SearchScopes\{852ABCF8-C998-4558-84AE-ED0DD14BB8AE} - http://encyklopedie.seznam.cz/search?q={searchTerms}&sourceid=QuickSearch_16194
HKCU\SearchScopes\{8E7D4012-8882-443A-B862-F701E41616D8} - http://slovnik.seznam.cz/?q={searchTerms}&lang=cz_en&sourceid=QuickSearch_16194
HKCU\SearchScopes\{9BB2F0E7-6CE7-4D7F-A3C7-7AE75E1AA4DC} - http://www.mapy.cz/?query={searchTerms}&sourceid=QuickSearch_16194
HKCU\SearchScopes\{9E31854A-B5D1-46A6-90BA-8D80ABA55B1C} - http://www.novinky.cz/hledej?w={searchTerms}&sourceid=QuickSearch_16194
HKCU\SearchScopes\{BBEA26DF-1E98-4120-8137-994661481E2E} - http://www.firmy.cz/?q={searchTerms}&sourceid=QuickSearch_16194
HKCU\SearchScopes\{ED36CBE5-A51D-42C7-8195-4660EF4A52DB} - http://search.seznam.cz/?q={searchTerms}&sourceid=QuickSearch_16194
HKCU\SearchScopes\{FDA79A20-0B9D-406B-93CD-D93D6932D3BF} - http://tv.seznam.cz/hledej?w={searchTerms}&sourceid=QuickSearch_16194

==== Reset Google Chrome ======================

C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Preferences was reset successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences was reset successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Web Data was reset successfully
C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal was reset successfully

==== Empty IE Cache ======================

C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\Mary\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Users\Mary\AppData\Local\Microsoft\Windows\INetCache\Low\Content.IE5 emptied successfully
C:\Windows\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Windows\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Windows\sysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Users\Mary\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
C:\Users\Mary\AppData\Local\Microsoft\Windows\INetCache\Low\IE emptied successfully
C:\Windows\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
C:\Windows\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully

==== Empty FireFox Cache ======================

No FireFox Profiles found

==== Empty Chrome Cache ======================

C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Cache emptied successfully

==== Empty All Flash Cache ======================

No Flash Cache Found

==== Empty All Java Cache ======================

No Java Cache Found

==== C:\zoek_backup content ======================

C:\zoek_backup (files=17 folders=17 14163103 bytes)

==== Empty Temp Folders ======================

C:\Windows\Temp will be emptied at reboot

==== After Reboot ======================

==== Empty Temp Folders ======================

C:\Windows\Temp successfully emptied
C:\Users\Mary\AppData\Local\Temp successfully emptied

==== Empty Recycle Bin ======================

C:\$RECYCLE.BIN successfully emptied

==== EOF on 28.01.2017 at 20:42:04,84 ======================

[Mary]

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 28-01-2017 01
Ran by Mary (28-01-2017 20:46:36)
Running from C:\Users\Mary\Desktop
Windows 10 Pro Version 1511 (X64) (2017-01-28 09:05:42)
Boot Mode: Normal
==========================================================


==================== Accounts: =============================

Administrator (S-1-5-21-1664230912-4152899523-1192634744-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-1664230912-4152899523-1192634744-503 - Limited - Disabled)
Guest (S-1-5-21-1664230912-4152899523-1192634744-501 - Limited - Disabled)
Mary (S-1-5-21-1664230912-4152899523-1192634744-1001 - Administrator - Enabled) => C:\Users\Mary

==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "Hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

AMD Catalyst Control Center (HKLM-x32\...\WUCCCApp) (Version: 1.00.0000 - AMD)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 56.0.2924.76 - Google Inc.)
Google Update Helper (x32 Version: 1.3.32.7 - Google Inc.) Hidden
HitmanPro 3.7 (HKLM\...\HitmanPro37) (Version: 3.7.15.281 - SurfRight B.V.)
KMPlayer (remove only) (HKLM-x32\...\The KMPlayer) (Version: 4.0.4.6 - PandoraTV)
Malwarebytes verze 3.0.6.1469 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.0.6.1469 - Malwarebytes)
Microsoft Office 365 ProPlus - cs-cz (HKLM\...\O365ProPlusRetail - cs-cz) (Version: 16.0.7571.2109 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\...\OneDriveSetup.exe) (Version: 17.3.6743.1212 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 (HKLM-x32\...\{15134cb0-b767-4960-a911-f2d16ae54797}) (Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 (HKLM-x32\...\{22154f09-719a-4619-bb71-5b3356999fbf}) (Version: 11.0.50727.1 - Microsoft Corporation)
Office 16 Click-to-Run Extensibility Component (x32 Version: 16.0.7571.2109 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Extensibility Component 64-bit Registration (Version: 16.0.7571.2109 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Licensing Component (Version: 16.0.7571.2109 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Localization Component (x32 Version: 16.0.7571.2109 - Microsoft Corporation) Hidden
Seznam Software (HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\...\SeznamInstall) (Version: - Seznam.cz)
Sophos Virus Removal Tool (HKLM-x32\...\{B829E117-D072-41EA-9606-9826A38D34C1}) (Version: 2.5.6 - Sophos Limited)

==================== Custom CLSID (Whitelisted): ==========================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== Scheduled Tasks (Whitelisted) =============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

Task: {782F54F3-F328-4F72-BE73-9618AFF457D7} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [2017-01-28] (Microsoft Corporation)
Task: {9EFBD5B3-B752-4503-8E52-9A78191A2AC2} - System32\Tasks\R@1n-KMS\Windows64Professional => wmic [Argument = path SoftwareLicensingProduct where (ID="2de67392-b7a7-462a-b1ca-108dd189f588") call Activate]
Task: {B7D126AC-4EA0-4725-AAC0-764858EE4839} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files (x86)\Microsoft Office\root\vfs\ProgramFilesCommonx86\Microsoft Shared\Office16\OLicenseHeartbeat.exe [2017-01-28] (Microsoft Corporation)
Task: {BC26F386-E0C9-4473-968E-B0DE30133383} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [2016-12-28] (Microsoft Corporation)
Task: {D9FBC4A1-935A-4438-82C4-106446260FB3} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [2016-12-28] (Microsoft Corporation)
Task: {E4A4BCBA-619B-4D49-8519-6523C8C439D4} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2017-01-28] (Google Inc.)
Task: {E5DD85CC-EBC2-498C-8547-4D1255C8C60D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [2017-01-28] (Microsoft Corporation)
Task: {FD92C3B2-D045-4721-8421-DB70EF15BF10} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2017-01-28] (Google Inc.)

(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)


==================== Shortcuts =============================

(The entries could be listed to be restored or removed.)

==================== Loaded Modules (Whitelisted) ==============

2015-10-30 08:18 - 2015-10-30 08:18 - 00185856 _____ () C:\Windows\SYSTEM32\ism32k.dll
2017-01-28 15:51 - 2017-01-20 07:47 - 02264352 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\PoliciesControllerImpl.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 02656408 _____ () C:\Windows\system32\CoreUIComponents.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 02656408 _____ () C:\Windows\System32\CoreUIComponents.dll
2017-01-28 11:40 - 2015-05-26 12:35 - 00079872 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\9391libfoxloader-x64.dll
2016-07-12 23:12 - 2016-07-12 23:12 - 00093696 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\Windows.UI.Shell.SharedUtilities.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 00472064 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\QuickActions.dll
2017-01-28 11:26 - 2017-01-28 11:27 - 00144384 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe
2016-07-12 23:22 - 2016-07-12 23:22 - 07992832 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 00591360 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Core.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 02483200 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.BackgroundTask.dll
2016-07-12 23:22 - 2016-07-12 23:22 - 04089856 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersUI.dll
2017-01-28 11:39 - 2013-05-16 14:25 - 01062472 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\szninstall.exe
2017-01-28 11:40 - 2015-05-26 12:38 - 00457384 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\szndesktop.exe
2017-01-28 11:40 - 2015-05-26 12:36 - 00073896 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\listicka-x64.exe
2017-01-28 10:15 - 2017-01-25 08:29 - 02459992 _____ () C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.76\libglesv2.dll
2017-01-28 10:15 - 2017-01-25 08:29 - 00099672 _____ () C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.76\libegl.dll
2017-01-28 11:26 - 2017-01-28 11:27 - 00141312 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeBackgroundTasks.dll
2017-01-28 11:26 - 2017-01-28 11:27 - 22284800 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkyWrap.dll
2017-01-28 11:40 - 2015-05-26 12:37 - 00078504 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\9388libfoxloader.dll
2017-01-28 11:40 - 2015-05-26 12:38 - 00862888 _____ () C:\Users\Mary\AppData\Roaming\Seznam.cz\bin\lightspeed.dll

==================== Alternate Data Streams (Whitelisted) =========

(If an entry is included in the fixlist, only the ADS will be removed.)


==================== Safe Mode (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Association (Whitelisted) ===============

(If an entry is included in the fixlist, the registry item will be restored to default or removed.)


==================== Internet Explorer trusted/restricted ===============

(If an entry is included in the fixlist, it will be removed from the registry.)


==================== Hosts content: ===============================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2015-10-30 08:24 - 2017-01-28 20:32 - 00000753 ____A C:\Windows\system32\Drivers\etc\hosts


127.0.0.1 localhost

==================== Other Areas ============================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-1664230912-4152899523-1192634744-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Mary\Pictures\Korea\12010666_845742048875176_3685727330367859692_o.jpg
DNS Servers: 192.168.1.254 - 10.0.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall is disabled.

==================== MSCONFIG/TASK MANAGER disabled items ==


==================== FirewallRules (Whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

FirewallRules: [vm-monitoring-nb-session] => LPort=139
FirewallRules: [{0D48C0EF-B5D0-46B0-8D16-F7E3C0FE2396}] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
FirewallRules: [{1A3BDF53-D16E-4EE3-952F-D5E48E12D44A}] => C:\Program Files (x86)\Microsoft Office\root\Office16\outlook.exe
FirewallRules: [{91E345C8-083F-4B27-B656-91D64EBBF081}] => C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe
FirewallRules: [{AED30FC3-9A07-4CB6-A397-7FE33DCA6A0A}] => C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe
FirewallRules: [{1EEC8812-9B6E-4849-B0C2-0BF6B1E8F097}] => C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe
FirewallRules: [{01A9A5B4-B70C-4249-87C9-35CFFA94D47B}] => C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe

==================== Restore Points =========================

28-01-2017 10:03:04 Windows Modules Installer
28-01-2017 19:06:13 JRT Pre-Junkware Removal

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (01/28/2017 08:32:14 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: DaS_21.exe, verze: 2.1.0.4, časové razítko: 0x540c90b2
Název chybujícího modulu: unknown, verze: 0.0.0.0, časové razítko: 0x00000000
Kód výjimky: 0xc0000005
Posun chyby: 0x00007ffe900633a8
ID chybujícího procesu: 0x16a4
Čas spuštění chybující aplikace: 0x01d2799d39e703a6
Cesta k chybující aplikaci: C:\Users\Mary\AppData\Local\Temp\DaS_21.exe
Cesta k chybujícímu modulu: unknown
ID zprávy: c86ead81-7642-4c15-b06a-99f0752c6f61
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (01/28/2017 08:32:14 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Aplikace: DaS_21.exe
Verze Framework: v4.0.30319
Popis: Proces byl ukončen z důvodu neošetřené výjimky.
Informace o výjimce: System.NullReferenceException
na DriverAndServicesOut.GetProcess.GetPathName(System.String)
na DriverAndServicesOut.GetProcess.GetAllServices(System.String)
na DriverAndServicesOut.Program.Main(System.String[])

Error: (01/28/2017 08:15:57 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3002) (User: NT AUTHORITY)
Description: The performance counter explain text string value in the registry is not formatted correctly. The malformed string is 7899. The first DWORD in the Data section contains the index value to the malformed string while the second and third DWORDs in the Data section contain the last valid index values.

Error: (01/28/2017 08:15:57 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. The BaseIndex value from the Performance registry is the first DWORD in the Data section, LastCounter value is the second DWORD in the Data section, and LastHelp value is the third DWORD in the Data section.

Error: (01/28/2017 07:41:14 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3002) (User: NT AUTHORITY)
Description: The performance counter explain text string value in the registry is not formatted correctly. The malformed string is 7899. The first DWORD in the Data section contains the index value to the malformed string while the second and third DWORDs in the Data section contain the last valid index values.

Error: (01/28/2017 07:41:14 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. The BaseIndex value from the Performance registry is the first DWORD in the Data section, LastCounter value is the second DWORD in the Data section, and LastHelp value is the third DWORD in the Data section.

Error: (01/28/2017 07:13:12 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Generování kontextu aktivace pro C:\Program Files (x86)\Microsoft Office\root\Office16\lync.exe.Manifest se nezdařilo. Chyba v souboru manifestu nebo zásady C:\Program Files (x86)\Microsoft Office\root\Office16\UccApi.DLL na řádku 1.
Identita komponenty nalezená v manifestu nesouhlasí s identitou požadované komponenty.
Odkaz je UccApi,processorArchitecture="AMD64",type="win32",version="16.0.0.0".
Definice je UccApi,processorArchitecture="x86",type="win32",version="16.0.0.0".
Podrobnější diagnostické údaje získáte pomocí programu sxstrace.exe.

Error: (01/28/2017 07:06:16 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Služba Šifrování selhala při volání OnIdentity() v objektu System Writer.

Details:
AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol.

System Error:
Access is denied.
.

Error: (01/28/2017 07:04:51 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3002) (User: NT AUTHORITY)
Description: The performance counter explain text string value in the registry is not formatted correctly. The malformed string is 7899. The first DWORD in the Data section contains the index value to the malformed string while the second and third DWORDs in the Data section contain the last valid index values.

Error: (01/28/2017 07:04:51 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. The BaseIndex value from the Performance registry is the first DWORD in the Data section, LastCounter value is the second DWORD in the Data section, and LastHelp value is the third DWORD in the Data section.


System errors:
=============
Error: (01/28/2017 08:41:02 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Služba Sync Host_2d5ab byla nečekaně ukončena. Stalo se to 1 krát. Následující opravná akce bude spuštěna za 10000 milisekund: Restart the service.

Error: (01/28/2017 08:41:02 PM) (Source: DCOM) (EventID: 10016) (User: NT AUTHORITY)
Description: Nastavení oprávnění application-specific neuděluje oprávnění Local Activation pro serverovou aplikaci COM s identifikátorem CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
a APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
uživateli NT AUTHORITY\SYSTEM (SID: S-1-5-18) z adresy LocalHost (Using LRPC) běžící v kontejneru aplikací Unavailable – SID (Unavailable). Toto oprávnění zabezpečení lze změnit pomocí nástroje správy Služba komponent.

Error: (01/28/2017 08:39:35 PM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Služba PEVSystemStart je označena jako interaktivní služba. Avšak systém je nakonfigurován tak, že neumožňuje použití interaktivní služby. Tato služba nebude fungovat správně.

Error: (01/28/2017 08:39:35 PM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Služba PEVSystemStart je označena jako interaktivní služba. Avšak systém je nakonfigurován tak, že neumožňuje použití interaktivní služby. Tato služba nebude fungovat správně.

Error: (01/28/2017 08:39:35 PM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Služba PEVSystemStart je označena jako interaktivní služba. Avšak systém je nakonfigurován tak, že neumožňuje použití interaktivní služby. Tato služba nebude fungovat správně.

Error: (01/28/2017 08:39:35 PM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Služba PEVSystemStart je označena jako interaktivní služba. Avšak systém je nakonfigurován tak, že neumožňuje použití interaktivní služby. Tato služba nebude fungovat správně.

Error: (01/28/2017 08:39:34 PM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Služba PEVSystemStart je označena jako interaktivní služba. Avšak systém je nakonfigurován tak, že neumožňuje použití interaktivní služby. Tato služba nebude fungovat správně.

Error: (01/28/2017 08:29:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Služba KMS-R@1n byla neočekávaně ukončena. Tento stav nastal již 1krát.

Error: (01/28/2017 08:09:03 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Předchozí vypnutí systému (20:07:52, ‎28.‎01.‎2017) bylo neočekávané.

Error: (01/28/2017 08:07:52 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Předchozí vypnutí systému (19:34:23, ‎28.‎01.‎2017) bylo neočekávané.


CodeIntegrity:
===================================
Date: 2017-01-28 17:49:42.657
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 14:18:08.760
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 13:38:06.294
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 10:41:15.708
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 10:05:28.647
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 10:03:39.536
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.

Date: 2017-01-28 09:55:10.781
Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\efswrt.dll because the set of per-page image hashes could not be found on the system.


==================== Memory info ===========================

Processor: Intel(R) Core(TM) i3-3210 CPU @ 3.20GHz
Percentage of memory in use: 31%
Total physical RAM: 4053.34 MB
Available physical RAM: 2761.28 MB
Total Virtual: 5461.34 MB
Available Virtual: 4248.07 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:931.02 GB) (Free:905.74 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or (Size: 931.5 GB) (Disk ID: AC2B8109)
Partition 1: (Active) - (Size=500 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=931 GB) - (Type=07 NTFS)

==================== End of Addition.txt ============================