Miszel03

Dokonaj diagnostyki zaszyfrowanego pliku poprzez wysłanie zaszyfrowanego pliku / notatki Ransomware na serwer usługi ID Ransomware - KLIK. Dostarcz wynik analizy, np. zrób zrzut ekranu. Od razu powiem, że jeśli narzędzie zidentyfikuję wariant Ransomware, na którego nie ma dekodera to zalecana jest kompleksowa reinstalacja systemu, z powodu innych możliwości wykorzystania infekcji (np. wykradania haseł).

OK. Usuń narzędzia diagnostyczno / dezynfekcyjne (raczej nie będą Ci już potrzebne, a po za tym są bardzo często aktualizowane, więc jednorazowe) - KLIK / KLIK.

Jestem aktualnie uprawniony do pomocy (w chwili pisania poprzedniego postu nie byłem), więc jak tylko dostarczyć najnowsze raporty to zaczniemy działać. Tylko pamiętaj, aby pobrać wersję najnowszą FRST - KLIK.

Ustawia się ponownie, ponieważ w samej przeglądarce tkwi jeszcze rozszerzenie SurvivingMinecraft Search Engine. Nie ma tutaj nic do robienia prócz kasacji omawianego rozszerzenia, nie będę nawet podawał skryptu, bo szybciej zrobimy to ręcznie. 1. Skasuj (odszukując w menu Start > sekcja Wyszukaj programy i pliki) plik C:\Users\DG_Ochota\AppData\Roaming\Mozilla\Firefox\Profiles\11fyju53.default\Extensions\{5a8145e2-6cbb-4509-a268-f3121429656c}.xpi 2. Wykonaj w FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki, roszerzenia i hasła nie zostaną naruszone. 3. Napisz czy problem ustąpił.

OK.

Gdyby coś się działo to standardowo wykonujesz obowiązkowe raporty systemowe i piszesz.

Nie rozumiem pytania. W tamtym temacie pomieszały mi się raporty i źle przykleiłem nazwę użytkownika, zamiast Stefan powinno być Lucas. Jeśli chodzi o ten kawałek skryptu: DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\NAZWA_UZYTKOWNIKA\AppData\Local\Mozilla C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Mozilla C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Profiles to odpowiada on za usunięcie wszystkiego po przeglądarce Mozilla FireFox, stosuję to w przypadku kiedy log Addition nie wykazuję wpisu instalacyjnego FireFox, a log Shortcut jego skrótów (to są dowody na to, że przeglądarki w systemie praktycznie nie ma, tylko, że pozostawiła po sobie ślady z przeszłości).

W raportach brak oznak infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP,a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer. Panda Free Antivirus Baidu Antivirus Druga sprawa: korzystanie naraz z dwóch oprogramowań antywirusowych jest nie zdrowe, tzn. oba mogą się ze sobą sprzeczać. Zalecam deinstalacje. któregoś z dwóch. Kosmetyka: kasacja pustych skrótów, martwych usług, modyfikacji polityk grup oraz szczątek po programach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3383255461-950792870-2410534267-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S3 BdSandbox; Brak ImagePath S1 Bfilter; Brak ImagePath S1 Bfmon; Brak ImagePath S1 Bndef; Brak ImagePath S3 BNmon; Brak ImagePath S1 Bprotect; Brak ImagePath HKLM\...\regfile\shell\open\command: "regedit.exe" "%1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Heroes of Might and Magic V - Tribes of the East.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Play Dark Messiah Map.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Register the Game.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Update.lnk C:\Users\USER\Desktop\progromy\Baidu Antivirus.lnk C:\Users\USER\Desktop\progromy\Skype.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Help.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Sawer Online.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Hardcore\Help.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\USER\AppData\Local\Mozilla C:\Users\USER\AppData\Roaming\Mozilla C:\Users\USER\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. Jeśli nie będzie żadnych powikłań to usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz punkty przywracania systemu - KLIK / KLIK.

Tak.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz punkty przywracania systemu - KLIK / KLIK.

Wszystko pomyślnie wykonane. Jak z Twojej strony przedstawia się obecna sytuacja?

Czy temat jest nadal aktualny? Jeśli jest to proszę dostarcz wymagane raporty systemowe FRST oraz GMER.

Tak to wszystko.

W raportach widać jeszcze jeden program, który (na podstawie daty i opinii) należy usunąć (przypuszczalnie został nabyty właśnie po uruchomieniu tego pliku) mówię cały czas o aplikacji Mail.Ru. Do tego kasujemy modyfikacje polityk grup oraz inne resztki programów itd. 1. Włącz przywracanie sytemu - (KLIK). 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-877549434-3901300369-924540138-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407 SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014 SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014 2016-12-02 14:18 - 2016-12-02 14:19 - 00000000 ____D C:\Program Files (x86)\Mail.Ru 2016-12-02 14:17 - 2016-12-02 14:17 - 00000000 ____D C:\ProgramData\Mail.Ru ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Konrad\AppData\Local\Mozilla C:\Users\Konrad\AppData\Roaming\Mozilla C:\Users\Konrad\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Konrad\AppData\Local CMD: dir /a C:\Users\Konrad\AppData\LocalLow CMD: dir /a C:\Users\Konrad\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. Skan wykonywany przez CyberTarcze jest bardzo limitowany, ocena na podstawie IP, nie jest skanowany system. Kosmetyka: kasacja martwych usług i pustych skrótów. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] C:\Users\Camilo\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1059325536_pl.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Config.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Config.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Config.lnk C:\Users\Camilo\Links\Skany.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Zadałem niepotrzebnie te zadania, bo bieżący adres jest w porządku, natomiast podany jako amerykański, jest już martwy. Przepraszam, za niepotrzebne zamieszanie. W takim razie możesz teraz zmienić hasło do swojego konta pocztowego, tak na wszelki wypadek. Jeśli nie ma żadnych powikłań po wykonywanych tutaj czynnościach to będziemy kończyć (bo czynnych infekcji brak). Usuń narzędzia diagnostyczno / dezynfekcyjne oraz punkty przywracania systemu - KLIK / KLIK.

Brakuje 3 raportu generowanego przez narzędzia Farbar Recovery Scan Tool, czyli pliku Shortcut.txt. Bez niego nie ruszamy.

W raportach brak oznak infekcji. Ja również nie mogę wejść na tą stronę - być może jest na niej założona jakaś blokada geolokalizacji. (Możesz próbować ewentualnie wejść przy wyłączonym oprogramowaniu antywirusowym oraz dodatkach w przeglądarkach). W skrypcie kasacja modyfikacji grup polityk oraz szczątek po rożnych programach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction GroupPolicy\User: Restriction SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 cmdAgent; no ImagePath U3 ufdiipob; \??\C:\Users\Browar\AppData\Local\Temp\ufdiipob.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Wygląda na to, że jest OK. Jak z Twojej strony przedstawia się sytuacja?

Usuniemy te amerykańskie adresy DNS. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez menu Start uruchom wiersz poleceń cmd.exe (jako administrator) i wpisz frazę ipconfig /flushdns i ENTER. Uruchom ponownie komputer. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Raporty zostały wykonane bardzo starą wersją narzędzia Farbar Recovery Scan Tool (wersja sprzed 631 dni!). Pobierz najnowszą wersję (KLIK) i wykonaj nią raporty. Dostarcz raporty z tych działań.

OK. Kończymy.

Pomieszały mi się logi (a właściwe nazwy użytkownika) - przepraszam. W trzech ostatnich linijkach już nazwa użytkownika została zmieniona, o ile nie wykonałeś jeszcze pkt. 1 to wykonaj teraz, ewentualnie gdybyś już wykonał to przetwórz te 3 linijki skryptu: C:\Users\Lucas\AppData\Local\Mozilla C:\Users\Lucas\AppData\Roaming\Mozilla C:\Users\Lucas\AppData\Roaming\Profiles sposób zapisu i wykonania ten sam co w poście wyżej (patrz pkt. 1).

W raportach tak jak już się w pewnie domyślasz brak oznak aktywnej infekcji. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange. Do wykonania tylko drobna kosmetyka oraz usunięcia szczątek po przeglądarce FireFox adware / PUP. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy\User: Ograniczenia CHR HomePage: Default -> hxxp://trafficmonsoon.com/member/seecashlinks.php CHR StartupUrls: Default -> "hxxp://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HI_S1VZJ90S514009&ts=1347652402","hxxp://do-search.com/?type=hp&ts=1432369109&z=4e3e087fde3d9ed862ef3c5g7z1ceo5cbq9tag8efo&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90S514009" CHR DefaultSearchURL: Default -> hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t CHR DefaultSuggestURL: Default -> hxxp://suggestqueries.google.com/complete/search?q={searchTerms} C:\Users\Lucas\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lucas\AppData\Local\Mozilla C:\Users\Lucas\AppData\Roaming\Mozilla C:\Users\Lucas\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko (o ile cokolwiek zostanie po wykonaniu operacji z FRST) z wyjątkiem wyszukiwarki Google. 3. Nie musisz już dostarczać wynikowych raportów oraz nowych logów, bo jest to zbędne. No chyba, że ujawniły by się jakieś powikłania.

AdwCleaner to program służący do usuwania wszelkiej maści adware / PUP, raczej nie nadaję się do użycia w przypadku wykrycia takich działań. Przechodząc do sedna: w raportach brak oznak czynnej infekcji, są ślady mogące wskazywać na wcześniejsze jej istnienie (modyfikacja polityk grup Windows Defender, ale to może mieć związek z wspomnianym przez Ciebie problem z programem Tencent). Mam natomiast jeszcze jedno pytanie, a mianowicie: czy amerykańskie adresy DNS (KLIK / KLIK) na routerze są ustawione przez Ciebie? Z raportu wynika, że klucze zostały przywrócone, więc w poniższym skrypcie je kasuje (i już ich tam nie będzie). Wykonaj poniższe punkty. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Windows Defender SearchScopes: HKLM -> {B74C49A1-6F11-452F-811A-72D26235E213} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} Task: {93F1413F-F7C0-402C-AC7B-CAAEE49D7E4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\GG dysk.lnk C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\HTTrack Website Copier.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink 3.2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink Information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\Uninstall DVD Shrink.lnk DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM64\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system swoim oprogramowaniem antywirusowym Avast oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie znalezione przez nie nagrożenia poddaj kwarantanni. 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.