Zacinająca się przeglądarka oraz wywalanie do pulpitu.

[Cytryn]

Witam mam dwa problemy:

1. Jakieś dwa tygodnie temu zaczął zacinać mi się google chrome i po wielu próbach i radach zainstalowałem google chrome canary i był spokój niestety od wczoraj przeglądarka zacina się podczas zwykłego przeglądania internetu tak samo jak wcześniej zwykły chrome.

2. Wywala mnie do pulpitu z gier tak jakby coś się włączało bo przy kursorze w tym momencie jest ikonka ładowania jakby coś się włączało, jest to wnerwiające bo co 3-5 minut mnie wywala do pulpitu.

 

Komputer czyściłem CCleanerem i combofixem. Windows 7 64 bit ultimate. Podzespoły są dobre i nie przegrzewają się. System reinstalowałem 3 tygodnie temu.

[Cytryn]

ref

[CanExiOne]

Szanse małe ale może jakiś antywirus pomoże?

[Janusz.]

Komputer czyściłem CCleanerem i combofixem.

niepotrzebnie. 

Wykonaj logi FRST http://www.mpcforum.pl/topic/1364875-jak-wykona%C4%87-logi/#entry12866236

[Cytryn]

Komputer czyściłem CCleanerem i combofixem.

niepotrzebnie. 

Wykonaj logi FRST http://www.mpcforum.pl/topic/1364875-jak-wykona%C4%87-logi/#entry12866236

FRST

 

 

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-06-02 14:47:14
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0 INTEL_SSDSC2CW120A3 rev.400i 111,79GB
Running: we985gg7.exe; Driver: C:\Users\Liukaner\AppData\Local\Temp\uxddafoc.sys
 
 
---- Kernel code sections - GMER 2.2 ----
 
.text   C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                                                                                                           fffff960001c1f00 7 bytes [40, A7, F3, FF, 01, B5, F0]
.text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                                                                                                       fffff960001c1f08 3 bytes [C0, 06, 02]
 
---- User code sections - GMER 2.2 ----
 
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[2128] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                          00000000754e1465 2 bytes [4E, 75]
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[2128] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                         00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[2244] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                   00000000754e1465 2 bytes [4E, 75]
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[2244] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                  00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
?       C:\Windows\system32\mssprxy.dll [2244] entry point in ".rdata" section                                                                                                                                                    000000006b4271e6
.text   C:\Windows\SysWOW64\explorer.exe[3024] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\explorer.exe[3024] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                           00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\explorer.exe[1400] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\explorer.exe[1400] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                           00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\explorer.exe[1936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\explorer.exe[1936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                           00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\explorer.exe[3016] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\explorer.exe[3016] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                           00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\explorer.exe[3492] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\explorer.exe[3492] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                           00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Program Files (x86)\MSI\ControlCenter\ControlCenter.exe[3952] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                  00000000754e1465 2 bytes [4E, 75]
.text   C:\Program Files (x86)\MSI\ControlCenter\ControlCenter.exe[3952] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                 00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\msiexec.exe[3044] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection                                                                                                                                    0000000077ddfc40 5 bytes JMP 0000000002518657
.text   C:\Windows\SysWOW64\msiexec.exe[3044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                             00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\msiexec.exe[3044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\msiexec.exe[3048] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection                                                                                                                                    0000000077ddfc40 5 bytes JMP 0000000000178657
.text   C:\Windows\SysWOW64\msiexec.exe[3048] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                             00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\msiexec.exe[3048] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe[5004] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                      00000000754e1465 2 bytes [4E, 75]
.text   C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe[5004] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                     00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe[1380] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                              00000000754e1465 2 bytes [4E, 75]
.text   C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe[1380] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                             00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[4260] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                    00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[4260] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                   00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[1176] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                    00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[1176] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                   00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\uTorrent.exe[540] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                      00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\uTorrent.exe[540] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                     00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
?       C:\Windows\system32\mssprxy.dll [540] entry point in ".rdata" section                                                                                                                                                     000000006b4271e6
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\updates\3.4.8_42358\utorrentie.exe[728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\updates\3.4.8_42358\utorrentie.exe[728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                               00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\updates\3.4.8_42358\utorrentie.exe[4048] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                               00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\uTorrent\updates\3.4.8_42358\utorrentie.exe[4048] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                              00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Windows\SysWOW64\msiexec.exe[5928] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection                                                                                                                                    0000000077ddfc40 5 bytes JMP 0000000002388657
.text   C:\Windows\SysWOW64\msiexec.exe[5928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                             00000000754e1465 2 bytes [4E, 75]
.text   C:\Windows\SysWOW64\msiexec.exe[5928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3108] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 14 bytes {MOV RAX, 0x7fef4633150; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5788] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[544] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                     00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[544] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                    00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[2212] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                    00000000754e1465 2 bytes [4E, 75]
.text   C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe[2212] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                   00000000754e14bb 2 bytes [4E, 75]
.text   ...                                                                                                                                                                                                                       * 2
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread                                                                                       0000000077c313e0 7 bytes {ADD [RAX-0x48], CL; LODSB ; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8                                                                                   0000000077c313e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                                                                                            0000000077c31550 7 bytes [48, B8, 04, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 8                                                                                        0000000077c31558 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                0000000077c31570 7 bytes [48, B8, 80, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                                                                                            0000000077c31578 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                                                                                         0000000077c31580 7 bytes [48, B8, 80, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 8                                                                                     0000000077c31588 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                                           0000000077c31590 7 bytes [48, B8, 8C, FD, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 8                                                                                       0000000077c31598 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                                         0000000077c315b0 7 bytes [48, B8, D0, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 8                                                                                     0000000077c315b8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                                                                                          0000000077c31600 7 bytes [48, B8, 28, FF, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 8                                                                                      0000000077c31608 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                                                                                         0000000077c31610 7 bytes [48, B8, BC, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 8                                                                                     0000000077c31618 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                   0000000077c31640 7 bytes [48, B8, 10, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                                                                                               0000000077c31648 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                                        0000000077c316e0 7 bytes {ADD [RAX-0x48], CL; POP RAX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 8                                                                                    0000000077c316e8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                 0000000077c31860 7 bytes [48, B8, D4, FC, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                                                                                             0000000077c31868 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                                                                                           0000000077c322d0 7 bytes [48, B8, A4, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 8                                                                                       0000000077c322d8 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                 0000000077c32320 7 bytes [48, B8, E0, FE, D5, 3F, 01]
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 8                                                                                             0000000077c32328 6 bytes {ADD [RAX], AL; JMP RAX}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile                                                                                    0000000077c32470 7 bytes {ADD [RAX-0x48], CL; INS BYTE [RDI], DX; CALL RBP}
.text   C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 8                                                                                0000000077c32478 6 bytes {ADD [RAX], AL; JMP RAX}
 
---- User IAT/EAT - GMER 2.2 ----
 
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[4064] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[6044] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5492] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5516] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[5540] @ C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\PepperFlash\pepflashplayer.dll[KERNEL32.dll!CreateNamedPipeW]  [b74e002c] 
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!CloseServiceHandle]                                                                          [7fee28d553c] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenSCManagerW]                                                                              [7fee28d5dc8] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!StartServiceW]                                                                               [7fee28d61e0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] @ C:\Windows\system32\dwrite.dll[ADVAPI32.dll!OpenServiceW]                                                                                [7fee28d5de0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
IAT     C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\chrome.exe[3508] @ C:\Windows\system32\dwrite.dll[ntdll.dll!NtAlpcConnectPort]                                                                              [7fee28d5dc0] C:\Users\Liukaner\AppData\Local\Google\Chrome SxS\Application\53.0.2754.0\chrome_child.dll
 
---- Threads - GMER 2.2 ----
 
Thread  C:\Windows\SysWOW64\explorer.exe [2920:3036]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [2928:3056]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [2956:3068]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [3024:2332]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [2416:1048]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [352:920]                                                                                                                                                                                00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [436:2996]                                                                                                                                                                               00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [936:1840]                                                                                                                                                                               0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [1372:1716]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [1400:2984]                                                                                                                                                                              00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [1384:3248]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [1936:3140]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [3016:3164]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [3276:3356]                                                                                                                                                                              00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [3284:3332]                                                                                                                                                                              00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [3292:3304]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [3492:3516]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\explorer.exe [3832:3852]                                                                                                                                                                              00000000000d3190
Thread  C:\Windows\SysWOW64\explorer.exe [3840:3848]                                                                                                                                                                              0000000000093190
Thread  C:\Windows\SysWOW64\msiexec.exe [3044:4776]                                                                                                                                                                               00000000025186d4
Thread  C:\Windows\SysWOW64\msiexec.exe [3048:4388]                                                                                                                                                                               00000000001786d4
Thread  C:\Windows\SysWOW64\msiexec.exe [5928:2600]                                                                                                                                                                               00000000023886d4
 
---- Registry - GMER 2.2 ----
 
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001a7dda7113                                                                                                                                               
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001a7dda7113 (not active ControlSet)                                                                                                                           
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@senzwbsys32                                                                                                                                                            C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe(2016-05-29 21:59:00)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zib77a23132                                                                                                                                                            C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe(2016-05-29 21:59:06)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zib77a231332                                                                                                                                                           C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe(2016-05-29 21:59:04)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zib77a2132                                                                                                                                                             C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe(2016-05-29 21:59:15)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zibowa1w3132                                                                                                                                                           C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe(2016-05-29 21:59:19)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zibow22132                                                                                                                                                             C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe(2016-05-29 21:59:47)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zibowa1wa32                                                                                                                                                            C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe(2016-05-29 22:00:13)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zibowawa32                                                                                                                                                             C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe(2016-05-29 22:00:40)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@sy3nick32s                                                                                                                                                             C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe(2016-05-29 22:00:42)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\Run@zibowa1w3a32                                                                                                                                                           C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe(2016-05-29 22:00:45)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zibowawa32                                                                                                                                                         C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe(2016-05-29 22:00:40)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zib77a231332                                                                                                                                                       C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe(2016-05-29 21:59:04)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zibowa1wa32                                                                                                                                                        C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe(2016-05-29 22:00:13)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zibowa1w3132                                                                                                                                                       C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe(2016-05-29 21:59:19)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zibowa1w3a32                                                                                                                                                       C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe(2016-05-29 22:00:45)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@senzwbsys32                                                                                                                                                        C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe(2016-05-29 21:59:00)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zibow22132                                                                                                                                                         C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe(2016-05-29 21:59:47)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zib77a2132                                                                                                                                                         C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe(2016-05-29 21:59:15)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@sy3nick32s                                                                                                                                                         C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe(2016-05-29 22:00:42)
Reg     HKCU\Software\Microsoft\Windows\CurrentVersion\runonce@zib77a23132                                                                                                                                                        C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe(2016-05-29 21:59:06)
 
---- EOF - GMER 2.2 ----

[Drenek]

To są logi gmer

 

Wykonaj FRST i załącz plik tekstowy do posta

 

http://www.mpcforum.pl/topic/1364875-jak-wykona%C4%87-logi/#entry12866201

[Cytryn]

To są logi gmer

 

Wykonaj FRST i załącz plik tekstowy do posta

 

http://www.mpcforum.pl/topic/1364875-jak-wykona%C4%87-logi/#entry12866201

Mój błąd. 

Addition.txt

Shortcut.txt

FRST.txt

[Janusz.]

W systemie grasuje trojan downloader

PPM na ikonkę kosza > opróżnij kosz

 

 
Closeprocesses:
C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx
HKLM-x32\...\Run: [swreg.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\swreg.exe
HKLM-x32\...\Run: [sed.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\sed.exe
HKLM-x32\...\Run: [winhlp32.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\winhlp32.exe
HKLM-x32\...\Run: [swxcacls.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\swxcacls.exe
HKLM-x32\...\Run: [mbr.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\mbr.exe
HKLM-x32\...\Run: [bfsvc.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe [337920 2016-06-01] ()
HKLM\...\Policies\Explorer\Run: [1831294245] => C:\ProgramData\mstmj.exe [167424 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [420380317] => C:\ProgramData\msvfb.exe [179200 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1277634003] => C:\ProgramData\mskrkjuxf.exe [160768 2010-11-20] ()
C:\ProgramData\mskrkjuxf.exe
C:\ProgramData\msvfb.exe
C:\ProgramData\mstmj.exe
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [senzwbsys32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe [144896 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a23132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe [142848 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a231332] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a2132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1w3132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibow22132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1wa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe [144384 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowawa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [sy3nick32s] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1w3a32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowawa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a231332] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1wa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe [144384 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1w3132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1w3a32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [senzwbsys32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe [144896 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibow22132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a2132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [sy3nick32s] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a23132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe [142848 2016-06-01] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 uxddafoc; \??\C:\Users\Liukaner\AppData\Local\Temp\uxddafoc.sys [X]
2016-05-18 09:28 - 2016-06-02 13:00 - 00002976 _____ C:\Windows\System32\Tasks\Xl5jVVxcVWIx
2016-05-18 09:28 - 2016-06-02 13:00 - 00000368 ____H C:\Windows\Tasks\Xl5jVVxcVWIx.job
Task: {C715F9D0-2257-4DC5-B670-EC82A64B8FAD} - System32\Tasks\Xl5jVVxcVWIx => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe [2016-06-01] ()
Task: C:\Windows\Tasks\Xl5jVVxcVWIx.job => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe
2016-06-01 21:31 - 2016-06-01 21:30 - 00337920 __RSH () C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe
 
 
 
CMD: dir /a "C:\Users\Liukaner\appdata\Local"
CMD: dir /a "C:\Users\Liukaner\appdata\Roaming"
CMD: dir /a "C:\Users\Liukaner\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"
 
Hosts:
RemoveProxy:
EmptyTemp:

 

 

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum.

[Cytryn]

W systemie grasuje trojan downloader

PPM na ikonkę kosza > opróżnij kosz

 

 

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum.

 

fixlog

 

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:01-06-2016
Uruchomiony przez Liukaner (2016-06-03 16:28:42) Run:1
Uruchomiony z C:\Users\Liukaner\Downloads
Załadowane profile: Liukaner (Dostępne profile: Liukaner)
Tryb startu: Normal
==============================================
 
fixlist - zawartość:
*****************
Closeprocesses:
C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx
HKLM-x32\...\Run: [swreg.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\swreg.exe
HKLM-x32\...\Run: [sed.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\sed.exe
HKLM-x32\...\Run: [winhlp32.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\winhlp32.exe
HKLM-x32\...\Run: [swxcacls.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\swxcacls.exe
HKLM-x32\...\Run: [mbr.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\mbr.exe
HKLM-x32\...\Run: [bfsvc.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe [337920 2016-06-01] ()
HKLM\...\Policies\Explorer\Run: [1831294245] => C:\ProgramData\mstmj.exe [167424 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [420380317] => C:\ProgramData\msvfb.exe [179200 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1277634003] => C:\ProgramData\mskrkjuxf.exe [160768 2010-11-20] ()
C:\ProgramData\mskrkjuxf.exe
C:\ProgramData\msvfb.exe
C:\ProgramData\mstmj.exe
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [senzwbsys32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe [144896 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a23132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe [142848 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a231332] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zib77a2132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1w3132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibow22132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1wa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe [144384 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowawa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [sy3nick32s] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\Run: [zibowa1w3a32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowawa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136987961\zibowawa32.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a231332] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136373961\zibow773332.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1wa32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369817961\zibowa1wa32.exe [144384 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1w3132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-136981961\zibowa13wa132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibowa1w3a32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13698317961\zibowa13wa32.exe [141824 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [senzwbsys32] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1363345871\senewzbys32.exe [144896 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zibow22132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1369821961\zibow2132.exe [143872 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a2132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1367771961\zibow7732.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [sy3nick32s] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13402402961\seznick322.exe [143360 2016-06-01] ()
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\...\RunOnce: [zib77a23132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13673961\zibow77332.exe [142848 2016-06-01] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 uxddafoc; \??\C:\Users\Liukaner\AppData\Local\Temp\uxddafoc.sys [X]
2016-05-18 09:28 - 2016-06-02 13:00 - 00002976 _____ C:\Windows\System32\Tasks\Xl5jVVxcVWIx
2016-05-18 09:28 - 2016-06-02 13:00 - 00000368 ____H C:\Windows\Tasks\Xl5jVVxcVWIx.job
Task: {C715F9D0-2257-4DC5-B670-EC82A64B8FAD} - System32\Tasks\Xl5jVVxcVWIx => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe [2016-06-01] ()
Task: C:\Windows\Tasks\Xl5jVVxcVWIx.job => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe
2016-06-01 21:31 - 2016-06-01 21:30 - 00337920 __RSH () C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe
 
 
 
CMD: dir /a "C:\Users\Liukaner\appdata\Local"
CMD: dir /a "C:\Users\Liukaner\appdata\Roaming"
CMD: dir /a "C:\Users\Liukaner\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"
 
Hosts:
RemoveProxy:
EmptyTemp:
*****************
 
Procesy zostały pomyślnie zamknięte.
C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx => pomyślnie przeniesiono
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\swreg.exe => Wartość pomyślnie usunięto
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\sed.exe => Wartość pomyślnie usunięto
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\winhlp32.exe => Wartość pomyślnie usunięto
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\swxcacls.exe => Wartość pomyślnie usunięto
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mbr.exe => Wartość pomyślnie usunięto
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\bfsvc.exe => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\1831294245 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\420380317 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\1277634003 => Wartość pomyślnie usunięto
C:\ProgramData\mskrkjuxf.exe => pomyślnie przeniesiono
C:\ProgramData\msvfb.exe => pomyślnie przeniesiono
C:\ProgramData\mstmj.exe => pomyślnie przeniesiono
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\senzwbsys32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zib77a23132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zib77a231332 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zib77a2132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zibowa1w3132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zibow22132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zibowa1wa32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zibowawa32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\sy3nick32s => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\Run\\zibowa1w3a32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zibowawa32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zib77a231332 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zibowa1wa32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zibowa1w3132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zibowa1w3a32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\senzwbsys32 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zibow22132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zib77a2132 => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\sy3nick32s => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\zib77a23132 => Wartość pomyślnie usunięto
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => klucz pomyślnie usunięto
"HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => klucz pomyślnie usunięto
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie usunięto
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wartość pomyślnie przywrócono
catchme => serwis pomyślnie usunięto
MSICDSetup => serwis pomyślnie usunięto
NTIOLib_1_0_C => serwis pomyślnie usunięto
Synth3dVsc => serwis pomyślnie usunięto
tsusbhub => serwis pomyślnie usunięto
VGPU => serwis pomyślnie usunięto
uxddafoc => serwis nie znaleziono.
C:\Windows\System32\Tasks\Xl5jVVxcVWIx => pomyślnie przeniesiono
C:\Windows\Tasks\Xl5jVVxcVWIx.job => pomyślnie przeniesiono
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C715F9D0-2257-4DC5-B670-EC82A64B8FAD}" => klucz pomyślnie usunięto
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C715F9D0-2257-4DC5-B670-EC82A64B8FAD}" => klucz pomyślnie usunięto
C:\Windows\System32\Tasks\Xl5jVVxcVWIx => nie znaleziono.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Xl5jVVxcVWIx" => klucz pomyślnie usunięto
C:\Windows\Tasks\Xl5jVVxcVWIx.job => nie znaleziono.
"C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\bfsvc.exe" => nie znaleziono.
 
=========  dir /a "C:\Users\Liukaner\appdata\Local" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\Users\Liukaner\appdata\Local
 
2016-06-03  16:17    <DIR>          .
2016-06-03  16:17    <DIR>          ..
2016-04-22  10:52    <DIR>          Adobe
2016-05-28  22:24    <DIR>          AMD
2016-04-17  17:16    <DIR>          ATI
2016-05-22  08:25                 0 BIT18B1.tmp
2016-05-14  12:51    <DIR>          bluesoleil
2016-05-14  12:35    <DIR>          BlueSoleil BLE
2016-06-03  14:36    <DIR>          CrashDumps
2016-04-17  16:04    <JUNCTION>     Dane aplikacji [C:\Users\Liukaner\AppData\Local]
2016-05-07  10:26    <DIR>          Disc_Soft_Ltd
2016-05-28  16:42    <DIR>          DisplayFusion
2016-04-17  16:15    <DIR>          Dropbox
2016-05-19  09:55    <DIR>          ElevatedDiagnostics
2016-05-28  22:23    <DIR>          Fallout4
2016-05-22  14:04    <DIR>          ftblauncher
2016-04-17  16:37            57�560 GDIPFONTCACHEV1.DAT
2016-05-19  20:29    <DIR>          Google
2016-04-17  16:04    <JUNCTION>     Historia [C:\Users\Liukaner\AppData\Local\Microsoft\Windows\History]
2016-06-03  09:48         3�863�120 IconCache.db
2016-05-05  19:25    <DIR>          LogMeIn
2016-05-23  19:09    <DIR>          LogMeIn Hamachi
2016-04-19  19:10    <DIR>          Macromedia
2016-05-29  16:56    <DIR>          Microsoft
2016-04-19  18:58    <DIR>          OpenFM
2016-04-23  20:04    <DIR>          Overwolf
2016-04-19  14:23    <DIR>          Programs
2016-05-28  20:15               600 PUTTY.RND
2016-05-07  16:16    <DIR>          SkinSoft
2016-06-03  16:28    <DIR>          Temp
2016-04-17  16:04    <JUNCTION>     Temporary Internet Files [C:\Users\Liukaner\AppData\Local\Microsoft\Windows\Temporary Internet Files]
2016-04-17  16:04    <DIR>          VirtualStore
2016-05-29  16:56    <DIR>          Windows Live
2016-05-29  16:57    <DIR>          Windows Live Writer
2009-01-01  00:02                 0 {0651C63C-2573-439D-A9CE-7A87A3476B0C}
2016-05-22  08:25                 0 {1E29A0EC-ACA8-468D-9463-60702B2FB2F7}
               6 plik(�w)          3�921�280 bajt�w
              30 katalog(�w)  54�853�332�992 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\Users\Liukaner\appdata\Roaming" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\Users\Liukaner\appdata\Roaming
 
2016-06-03  16:28    <DIR>          .
2016-06-03  16:28    <DIR>          ..
2016-05-04  17:28    <DIR>          .atlauncher
2016-05-22  14:15    <DIR>          .minecraft
2016-05-10  09:39    <DIR>          AbiSuite
2016-04-19  19:10    <DIR>          Adobe
2016-04-17  17:16    <DIR>          ATI
2016-05-22  08:24    <DIR>          DAEMON Tools Lite
2016-05-07  11:18    <DIR>          DarkSoulsIII
2016-04-17  16:14    <DIR>          Dropbox
2016-05-28  20:07    <DIR>          FileZilla
2016-05-22  13:12    <DIR>          ftblauncher
2016-04-17  16:04    <DIR>          Identities
2016-04-17  16:42    <DIR>          InstallShield
2016-05-02  20:32    <DIR>          java
2016-04-17  17:08    <DIR>          library_dir
2016-04-19  19:10    <DIR>          Macromedia
2009-07-14  20:09    <DIR>          Media Center Programs
2016-05-29  10:29    <DIR>          Microsoft
2016-04-19  18:58    <DIR>          Mozilla
2016-04-19  13:33    <DIR>          Notepad++
2016-04-19  18:58    <DIR>          OpenFM
2016-05-29  00:05    <DIR>          PlaysTV
2016-04-19  14:34    <DIR>          Raptr
2016-05-29  23:38    <DIR>          Skype
2016-05-07  11:17    <DIR>          Steam
2016-04-17  16:13    <DIR>          Sun
2016-05-05  15:03    <DIR>          TS3Client
2016-06-03  16:27    <DIR>          uTorrent
2016-05-29  16:57    <DIR>          Windows Live Writer
2016-04-19  14:23    <DIR>          WinRAR
               0 plik(�w)                  0 bajt�w
              31 katalog(�w)  54�853�328�896 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\Users\Liukaner\appdata\Locallow" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\Users\Liukaner\appdata\Locallow
 
2016-06-01  21:33    <DIR>          .
2016-06-01  21:33    <DIR>          ..
2016-05-29  16:55    <DIR>          Microsoft
2016-04-17  16:13    <DIR>          Oracle
2016-04-17  16:13    <DIR>          Sun
2016-06-01  21:33    <DIR>          Temp
2016-06-03  09:50    <DIR>          uTorrent
               0 plik(�w)                  0 bajt�w
               7 katalog(�w)  54�853�328�896 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\Program Files (x86)" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\Program Files (x86)
 
2016-06-03  09:50    <DIR>          .
2016-06-03  09:50    <DIR>          ..
2016-04-19  16:51    <DIR>          AbiWord
2016-04-17  17:17    <DIR>          AMD
2016-04-17  17:07    <DIR>          AMD AVT
2016-04-17  17:17    <DIR>          ATI Technologies
2016-05-29  16:55    <DIR>          Common Files
2009-07-14  06:54               174 desktop.ini
2016-05-28  16:41    <DIR>          DisplayFusion
2016-05-14  16:19    <DIR>          Dropbox
2016-05-19  20:05    <DIR>          Google
2016-04-17  16:42    <DIR>          InstallShield Installation Information
2016-04-17  16:41    <DIR>          Intel
2016-04-30  15:08    <DIR>          Internet Explorer
2016-05-14  11:16    <DIR>          IVT Corporation
2016-05-29  16:44    <DIR>          Malwarebytes Anti-Malware
2016-04-17  16:11    <DIR>          Microsoft.NET
2009-07-14  07:32    <DIR>          MSBuild
2016-04-17  16:41    <DIR>          MSI
2016-05-14  11:16    <DIR>          Nokia
2016-04-17  16:14    <DIR>          Notepad++
2016-05-14  11:16    <DIR>          PC Connectivity Solution
2016-04-17  17:08    <DIR>          Raptr Inc
2016-04-17  16:10    <DIR>          Realtek
2009-07-14  07:32    <DIR>          Reference Assemblies
2016-04-17  16:20    <DIR>          Skype
2016-04-17  16:10    <DIR>          Temp
2009-07-14  06:57    <DIR>          Uninstall Information
2016-04-17  17:17    <DIR>          VulkanRT
2009-07-14  19:55    <DIR>          Windows Defender
2016-05-29  16:56    <DIR>          Windows Live
2016-04-21  14:26    <DIR>          Windows Mail
2016-04-21  14:25    <DIR>          Windows Media Player
2009-07-14  07:32    <DIR>          Windows NT
2016-04-20  07:23    <DIR>          Windows Photo Viewer
2016-04-20  07:23    <DIR>          Windows Portable Devices
2016-04-20  07:23    <DIR>          Windows Sidebar
               1 plik(�w)                174 bajt�w
              36 katalog(�w)  54�853�197�824 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\Program Files" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\Program Files
 
2016-05-29  16:56    <DIR>          .
2016-05-29  16:56    <DIR>          ..
2016-04-17  17:17    <DIR>          AMD
2016-04-17  17:04    <DIR>          ATI
2016-04-17  17:06    <DIR>          ATI Technologies
2016-04-17  16:09    <DIR>          CCleaner
2016-04-17  17:06    <DIR>          Common Files
2016-04-22  10:46    <DIR>          DAEMON Tools Lite
2009-07-14  06:54               174 desktop.ini
2016-05-14  11:16    <DIR>          DIFX
2016-04-20  07:23    <DIR>          DVD Maker
2016-04-17  16:12    <DIR>          FileZilla FTP Client
2016-04-17  16:43    <DIR>          Intel
2016-04-30  15:09    <DIR>          Internet Explorer
2016-04-17  16:13    <DIR>          Java
2009-07-14  20:09    <DIR>          Microsoft Games
2009-07-14  07:32    <DIR>          MSBuild
2016-04-17  16:10    <DIR>          Realtek
2009-07-14  07:32    <DIR>          Reference Assemblies
2016-04-23  20:04    <DIR>          TeamSpeak 3 Client
2009-07-14  07:09    <DIR>          Uninstall Information
2016-04-21  14:26    <DIR>          Windows Defender
2016-04-21  14:26    <DIR>          Windows Journal
2016-05-29  16:56    <DIR>          Windows Live
2016-04-21  14:26    <DIR>          Windows Mail
2016-04-21  14:25    <DIR>          Windows Media Player
2016-04-17  16:04    <DIR>          Windows NT
2016-04-20  07:23    <DIR>          Windows Photo Viewer
2016-04-20  07:23    <DIR>          Windows Portable Devices
2016-04-20  07:23    <DIR>          Windows Sidebar
2016-04-19  14:23    <DIR>          WinRAR
               1 plik(�w)                174 bajt�w
              30 katalog(�w)  54�853�193�728 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\ProgramData" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\ProgramData
 
2016-06-03  16:28    <DIR>          .
2016-06-03  16:28    <DIR>          ..
2016-04-17  17:07    <DIR>          AMD
2009-07-14  07:08    <JUNCTION>     Application Data [C:\ProgramData]
2016-05-28  16:41    <DIR>          Binary Fortress Software
2016-04-22  10:44    <DIR>          DAEMON Tools Lite
2016-04-17  16:04    <JUNCTION>     Dane aplikacji [C:\ProgramData]
2009-07-14  07:08    <JUNCTION>     Desktop [C:\Users\Public\Desktop]
2009-07-14  07:08    <JUNCTION>     Documents [C:\Users\Public\Documents]
2016-04-17  16:04    <JUNCTION>     Dokumenty [C:\Users\Public\Documents]
2016-04-17  16:12    <DIR>          Dropbox
2009-07-14  07:08    <JUNCTION>     Favorites [C:\Users\Public\Favorites]
2016-05-14  11:16    <DIR>          Installations
2016-04-17  16:41    <DIR>          Intel
2016-05-05  19:25    <DIR>          LogMeIn
2016-05-29  16:36    <DIR>          Malwarebytes
2016-04-17  16:04    <JUNCTION>     Menu Start [C:\ProgramData\Microsoft\Windows\Start Menu]
2016-05-29  16:56    <DIR>          Microsoft
2010-11-20  14:17           176�640 msowoyi.exe
2016-04-17  16:13    <DIR>          Oracle
2016-04-17  17:17    <DIR>          Package Cache
2016-04-17  16:04    <JUNCTION>     Pulpit [C:\Users\Public\Desktop]
2016-04-17  16:20    <DIR>          Skype
2009-07-14  07:08    <JUNCTION>     Start Menu [C:\ProgramData\Microsoft\Windows\Start Menu]
2016-04-17  16:04    <JUNCTION>     Szablony [C:\ProgramData\Microsoft\Windows\Templates]
2009-07-14  07:08    <JUNCTION>     Templates [C:\ProgramData\Microsoft\Windows\Templates]
2016-04-17  16:04    <JUNCTION>     Ulubione [C:\Users\Public\Favorites]
               1 plik(�w)            176�640 bajt�w
              26 katalog(�w)  54�853�193�728 bajt�w wolnych
 
========= Koniec  CMD: =========
 
 
=========  dir /a "C:\program files (x86)\common files" =========
 
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 4C4F-F75C
 
 Katalog: C:\program files (x86)\common files
 
2016-05-29  16:55    <DIR>          .
2016-05-29  16:55    <DIR>          ..
2016-04-17  17:07    <DIR>          ATI Technologies
2016-04-17  16:09    <DIR>          InstallShield
2016-04-17  16:13    <DIR>          Java
2016-05-29  16:55    <DIR>          microsoft shared
2016-04-17  16:39    <DIR>          postureAgent
2009-07-14  05:20    <DIR>          Services
2016-04-17  16:20    <DIR>          Skype
2009-07-14  05:20    <DIR>          SpeechEngines
2016-04-21  14:26    <DIR>          System
2016-05-29  16:55    <DIR>          Windows Live
               0 plik(�w)                  0 bajt�w
              12 katalog(�w)  54�853�193�728 bajt�w wolnych
 
========= Koniec  CMD: =========
 
C:\Windows\System32\Drivers\etc\hosts => pomyślnie przeniesiono
Hosts pomyślnie przywrócono.
 
========= RemoveProxy: =========
 
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wartość pomyślnie usunięto
HKU\S-1-5-21-3431958124-3200581024-2949185906-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wartość pomyślnie usunięto
 
 
========= Koniec  RemoveProxy: =========
 
EmptyTemp: => 112.8 MB danych tymczasowych Usunięto.
 
 
System wymagał restartu.
 
==== Koniec  Fixlog 16:28:46 ====

 

[Janusz.]

Ok. Pokaż nowe logi.

[Cytryn]

W załączniku

Addition.txt

FRST.txt

Shortcut.txt

[Janusz.]

Ustaw serwery DNS na 8.8.8.8 8.8.4.4

Infekcja się zregenerowała.

 

Closeprocesses:
HKLM-x32\...\Run: [explorer.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\explorer.exe
HKLM-x32\...\Run: [helppane.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\helppane.exe
HKLM-x32\...\Run: [grep.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\grep.exe
HKLM\...\Policies\Explorer\Run: [1137733112] => C:\ProgramData\msowoyi.exe [176640 2010-11-20] ()
C:\ProgramData\msowoyi.exe
C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx
2016-06-03 17:13 - 2016-06-03 17:14 - 42304896 _____ (Sony) C:\Users\Liukaner\AppData\Local\pcc.exe
2016-05-22 08:25 - 2016-05-22 08:25 - 0000000 ____H () C:\Users\Liukaner\AppData\Local\BIT18B1.tmp

CMD: dir /a "C:\Users\Liukaner\appdata\Local"
CMD: dir /a "C:\Users\Liukaner\appdata\Roaming"
CMD: dir /a "C:\Users\Liukaner\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

Hosts:
RemoveProxy:
EmptyTemp:

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog oraz nowe logi na forum

[Cytryn]

Addition.txtFRST.txtShortcut.txt

Ustaw serwery DNS na 8.8.8.8 8.8.4.4
Infekcja się zregenerowała.
 

Closeprocesses:
HKLM-x32\...\Run: [explorer.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\explorer.exe
HKLM-x32\...\Run: [helppane.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\helppane.exe
HKLM-x32\...\Run: [grep.exe] => C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx\grep.exe
HKLM\...\Policies\Explorer\Run: [1137733112] => C:\ProgramData\msowoyi.exe [176640 2010-11-20] ()
C:\ProgramData\msowoyi.exe
C:\Users\Liukaner\AppData\Roaming\Xl5jVVxcVWIx
2016-06-03 17:13 - 2016-06-03 17:14 - 42304896 _____ (Sony) C:\Users\Liukaner\AppData\Local\pcc.exe
2016-05-22 08:25 - 2016-05-22 08:25 - 0000000 ____H () C:\Users\Liukaner\AppData\Local\BIT18B1.tmp

CMD: dir /a "C:\Users\Liukaner\appdata\Local"
CMD: dir /a "C:\Users\Liukaner\appdata\Roaming"
CMD: dir /a "C:\Users\Liukaner\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

Hosts:
RemoveProxy:
EmptyTemp:

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog oraz nowe logi na forum

 

Przykro mi ale musiałem robić przywracanie systemu przez nieudaną aktualizację i nie ma fixloga. Zrobiłem nowe logi.
Ogólnie po starcie systemu mam użycie procesora na poziomie 90-100% ;/ przez parę minut. 

[Janusz.]

Closeprocesses:
HKLM\...\Policies\Explorer\Run: [1137733112] => C:\ProgramData\msowoyi.exe [108544 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [424507669] => C:\ProgramData\msnrrokj.exe [146432 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [541516729] => C:\ProgramData\mszlcdzrd.exe [150016 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [200321369] => C:\ProgramData\mskjwofcp.exe [194048 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1010829041] => C:\ProgramData\msdvc.exe [154112 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1322387769] => C:\ProgramData\msdpre.exe [104960 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [770914911] => C:\ProgramData\msnlux.exe [182784 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [36361008] => C:\ProgramData\msmodr.exe [195072 2010-11-20] ()
Task: {3F2EE26C-7B59-45CF-BDF6-F3B3E409EA91} - \Xl5jVVxcVWIx -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\alFSVWJB.job => C:\Users\Liukaner\AppData\Roaming\alFSVWJB\sed.exe

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum. 

Wejdź w msconfig i usuń wszystkie nieaktywne wpisy autostartu.

[Cytryn]

Closeprocesses:
HKLM\...\Policies\Explorer\Run: [1137733112] => C:\ProgramData\msowoyi.exe [108544 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [424507669] => C:\ProgramData\msnrrokj.exe [146432 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [541516729] => C:\ProgramData\mszlcdzrd.exe [150016 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [200321369] => C:\ProgramData\mskjwofcp.exe [194048 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1010829041] => C:\ProgramData\msdvc.exe [154112 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1322387769] => C:\ProgramData\msdpre.exe [104960 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [770914911] => C:\ProgramData\msnlux.exe [182784 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [36361008] => C:\ProgramData\msmodr.exe [195072 2010-11-20] ()
Task: {3F2EE26C-7B59-45CF-BDF6-F3B3E409EA91} - \Xl5jVVxcVWIx -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\alFSVWJB.job => C:\Users\Liukaner\AppData\Roaming\alFSVWJB\sed.exe

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum. 

Wejdź w msconfig i usuń wszystkie nieaktywne wpisy autostartu.

 

 

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:01-06-2016
Uruchomiony przez Liukaner (2016-06-23 19:42:53) Run:4
Uruchomiony z C:\Users\Liukaner\Downloads
Załadowane profile: Liukaner (Dostępne profile: Liukaner)
Tryb startu: Normal
==============================================
 
fixlist - zawartość:
*****************
Closeprocesses:
HKLM\...\Policies\Explorer\Run: [1137733112] => C:\ProgramData\msowoyi.exe [108544 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [424507669] => C:\ProgramData\msnrrokj.exe [146432 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [541516729] => C:\ProgramData\mszlcdzrd.exe [150016 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [200321369] => C:\ProgramData\mskjwofcp.exe [194048 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1010829041] => C:\ProgramData\msdvc.exe [154112 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [1322387769] => C:\ProgramData\msdpre.exe [104960 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [770914911] => C:\ProgramData\msnlux.exe [182784 2010-11-20] ()
HKLM\...\Policies\Explorer\Run: [36361008] => C:\ProgramData\msmodr.exe [195072 2010-11-20] ()
Task: {3F2EE26C-7B59-45CF-BDF6-F3B3E409EA91} - \Xl5jVVxcVWIx -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\alFSVWJB.job => C:\Users\Liukaner\AppData\Roaming\alFSVWJB\sed.exe
*****************
 
Procesy zostały pomyślnie zamknięte.
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\1137733112 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\424507669 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\541516729 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\200321369 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\1010829041 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\1322387769 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\770914911 => Wartość pomyślnie usunięto
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\36361008 => Wartość pomyślnie usunięto
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3F2EE26C-7B59-45CF-BDF6-F3B3E409EA91}" => klucz pomyślnie usunięto
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3F2EE26C-7B59-45CF-BDF6-F3B3E409EA91}" => klucz pomyślnie usunięto
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Xl5jVVxcVWIx => klucz nie znaleziono. 
C:\Windows\Tasks\alFSVWJB.job => pomyślnie przeniesiono
 
 
System wymagał restartu.
 
==== Koniec  Fixlog 19:42:54 ====

 

[Janusz.]

i jak system?

[Cytryn]

i jak system?

Śmiga jak burza, kocham Cię

 

 

kc

//dnalop