-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
-
Jestem aktualnie uprawniony do pomocy (w chwili pisania poprzedniego postu nie byłem), więc jak tylko dostarczyć najnowsze raporty to zaczniemy działać. Tylko pamiętaj, aby pobrać wersję najnowszą FRST - KLIK.
-
Od kilku dni jako domyślna wyszukiwarka wyskakuje ta z tytułu. Nie pomaga jej ręczne usuwanie. Po każdym otwarciu przeglądarki ustawia się ponownie.
Ustawia się ponownie, ponieważ w samej przeglądarce tkwi jeszcze rozszerzenie SurvivingMinecraft Search Engine.
Nie ma tutaj nic do robienia prócz kasacji omawianego rozszerzenia, nie będę nawet podawał skryptu, bo szybciej zrobimy to ręcznie.
1. Skasuj (odszukując w menu Start > sekcja Wyszukaj programy i pliki) plik C:\Users\DG_Ochota\AppData\Roaming\Mozilla\Firefox\Profiles\11fyju53.default\Extensions\{5a8145e2-6cbb-4509-a268-f3121429656c}.xpi
2. Wykonaj w FireFox:
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki, roszerzenia i hasła nie zostaną naruszone.
3. Napisz czy problem ustąpił.
-
-
Gdyby coś się działo to standardowo wykonujesz obowiązkowe raporty systemowe i piszesz.
-
Nie rozumiem pytania. W tamtym temacie pomieszały mi się raporty i źle przykleiłem nazwę użytkownika, zamiast Stefan powinno być Lucas. Jeśli chodzi o ten kawałek skryptu:
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\NAZWA_UZYTKOWNIKA\AppData\Local\Mozilla
C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Mozilla
C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Profilesto odpowiada on za usunięcie wszystkiego po przeglądarce Mozilla FireFox, stosuję to w przypadku kiedy log Addition nie wykazuję wpisu instalacyjnego FireFox, a log Shortcut jego skrótów (to są dowody na to, że przeglądarki w systemie praktycznie nie ma, tylko, że pozostawiła po sobie ślady z przeszłości). -
W raportach brak oznak infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP,a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.
Panda Free Antivirus Baidu Antivirus
Druga sprawa: korzystanie naraz z dwóch oprogramowań antywirusowych jest nie zdrowe, tzn. oba mogą się ze sobą sprzeczać. Zalecam deinstalacje. któregoś z dwóch.
Kosmetyka: kasacja pustych skrótów, martwych usług, modyfikacji polityk grup oraz szczątek po programach.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3383255461-950792870-2410534267-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S3 BdSandbox; Brak ImagePath
S1 Bfilter; Brak ImagePath
S1 Bfmon; Brak ImagePath
S1 Bndef; Brak ImagePath
S3 BNmon; Brak ImagePath
S1 Bprotect; Brak ImagePath
HKLM\...\regfile\shell\open\command: "regedit.exe" "%1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Heroes of Might and Magic V - Tribes of the East.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Play Dark Messiah Map.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Register the Game.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Update.lnk
C:\Users\USER\Desktop\progromy\Baidu Antivirus.lnk
C:\Users\USER\Desktop\progromy\Skype.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Help.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Sawer Online.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Hardcore\Help.lnkDeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\USER\AppData\Local\Mozilla
C:\Users\USER\AppData\Roaming\Mozilla
C:\Users\USER\AppData\Roaming\Profiles
EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. -
-
-
Wszystko pomyślnie wykonane. Jak z Twojej strony przedstawia się obecna sytuacja?
-
-
Tak to wszystko.
-
W raportach widać jeszcze jeden program, który (na podstawie daty i opinii) należy usunąć (przypuszczalnie został nabyty właśnie po uruchomieniu tego pliku) mówię cały czas o aplikacji Mail.Ru. Do tego kasujemy modyfikacje polityk grup oraz inne resztki programów itd.1. Włącz przywracanie sytemu - (KLIK).2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:GroupPolicy: OgraniczeniaGroupPolicy\User: OgraniczeniaHKU\S-1-5-21-877549434-3901300369-924540138-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=8110142016-12-02 14:18 - 2016-12-02 14:19 - 00000000 ____D C:\Program Files (x86)\Mail.Ru2016-12-02 14:17 - 2016-12-02 14:17 - 00000000 ____D C:\ProgramData\Mail.Ru
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Konrad\AppData\Local\Mozilla
C:\Users\Konrad\AppData\Roaming\Mozilla
C:\Users\Konrad\AppData\Roaming\ProfilesCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\Konrad\AppData\LocalCMD: dir /a C:\Users\Konrad\AppData\LocalLowCMD: dir /a C:\Users\Konrad\AppData\RoamingEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
-
Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. Skan wykonywany przez CyberTarcze jest bardzo limitowany, ocena na podstawie IP, nie jest skanowany system.
Kosmetyka: kasacja martwych usług i pustych skrótów.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
C:\Users\Camilo\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1059325536_pl.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Config.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Config.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Config.lnk
C:\Users\Camilo\Links\Skany.lnk
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. -
Zadałem niepotrzebnie te zadania, bo bieżący adres jest w porządku, natomiast podany jako amerykański, jest już martwy. Przepraszam, za niepotrzebne zamieszanie.
W takim razie możesz teraz zmienić hasło do swojego konta pocztowego, tak na wszelki wypadek. Jeśli nie ma żadnych powikłań po wykonywanych tutaj czynnościach to będziemy kończyć (bo czynnych infekcji brak).
Usuń narzędzia diagnostyczno / dezynfekcyjne oraz punkty przywracania systemu - KLIK / KLIK.
-
Brakuje 3 raportu generowanego przez narzędzia Farbar Recovery Scan Tool, czyli pliku Shortcut.txt. Bez niego nie ruszamy.
-
W raportach brak oznak infekcji. Ja również nie mogę wejść na tą stronę - być może jest na niej założona jakaś blokada geolokalizacji. (Możesz próbować ewentualnie wejść przy wyłączonym oprogramowaniu antywirusowym oraz dodatkach w przeglądarkach).
W skrypcie kasacja modyfikacji grup polityk oraz szczątek po rożnych programach.
1. Otwórz Notatnik w nim wklej:CloseProcesses: CreateRestorePoint:
GroupPolicy: Restriction GroupPolicy\User: Restriction SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 cmdAgent; no ImagePath
U3 ufdiipob; \??\C:\Users\Browar\AppData\Local\Temp\ufdiipob.sys [X] EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. -
Wygląda na to, że jest OK. Jak z Twojej strony przedstawia się sytuacja?
-
Usuniemy te amerykańskie adresy DNS.
1. Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
2. Przez menu Start uruchom wiersz poleceń cmd.exe (jako administrator) i wpisz frazę ipconfig /flushdns i ENTER. Uruchom ponownie komputer.
3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.
-
Raporty zostały wykonane bardzo starą wersją narzędzia Farbar Recovery Scan Tool (wersja sprzed 631 dni!). Pobierz najnowszą wersję (KLIK) i wykonaj nią raporty.
-pełne skanowanie programem malware bytes Anti-Malware (zarażonych plików 4)
- skanowanie ADWCleaner (wykrytych zagrożeń 20)Dostarcz raporty z tych działań.
-
OK.
Kończymy.
-
Pomieszały mi się logi (a właściwe nazwy użytkownika) - przepraszam. W trzech ostatnich linijkach już nazwa użytkownika została zmieniona, o ile nie wykonałeś jeszcze pkt. 1 to wykonaj teraz, ewentualnie gdybyś już wykonał to przetwórz te 3 linijki skryptu:
C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\Profilessposób zapisu i wykonania ten sam co w poście wyżej (patrz pkt. 1).
-
W raportach tak jak już się w pewnie domyślasz brak oznak aktywnej infekcji. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange.
Do wykonania tylko drobna kosmetyka oraz usunięcia szczątek po przeglądarce FireFox adware / PUP.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:CreateRestorePoint:GroupPolicy\User: OgraniczeniaCHR HomePage: Default -> hxxp://trafficmonsoon.com/member/seecashlinks.phpCHR StartupUrls: Default -> "hxxp://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HI_S1VZJ90S514009&ts=1347652402","hxxp://do-search.com/?type=hp&ts=1432369109&z=4e3e087fde3d9ed862ef3c5g7z1ceo5cbq9tag8efo&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90S514009"CHR DefaultSearchURL: Default -> hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=tCHR DefaultSuggestURL: Default -> hxxp://suggestqueries.google.com/complete/search?q={searchTerms}C:\Users\Lucas\AppData\Roaming\ClassicShell\Pinned\startscreen.lnkDeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\ProfilesEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko (o ile cokolwiek zostanie po wykonaniu operacji z FRST) z wyjątkiem wyszukiwarki Google.3. Nie musisz już dostarczać wynikowych raportów oraz nowych logów, bo jest to zbędne. No chyba, że ujawniły by się jakieś powikłania. -
AdwCleaner to program służący do usuwania wszelkiej maści adware / PUP, raczej nie nadaję się do użycia w przypadku wykrycia takich działań. Przechodząc do sedna: w raportach brak oznak czynnej infekcji, są ślady mogące wskazywać na wcześniejsze jej istnienie (modyfikacja polityk grup Windows Defender, ale to może mieć związek z wspomnianym przez Ciebie problem z programem Tencent). Mam natomiast jeszcze jedno pytanie, a mianowicie: czy amerykańskie adresy DNS (KLIK / KLIK) na routerze są ustawione przez Ciebie?
Witam, jak usunąć klucze rejestru znajdujące się w kwarantannie?
Z raportu wynika, że klucze zostały przywrócone, więc w poniższym skrypcie je kasuje (i już ich tam nie będzie). Wykonaj poniższe punkty.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:GroupPolicy: Ograniczenia - Windows Defender SearchScopes: HKLM -> {B74C49A1-6F11-452F-811A-72D26235E213} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} Task: {93F1413F-F7C0-402C-AC7B-CAAEE49D7E4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\GG dysk.lnk C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\HTTrack Website Copier.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink 3.2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink Information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\Uninstall DVD Shrink.lnk DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM64\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Przeskanuj system swoim oprogramowaniem antywirusowym Avast oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie znalezione przez nie nagrożenia poddaj kwarantanni.3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
zaszyfrowane pliki .thor
w Dział pomocy doraźnej
Opublikowano
Dokonaj diagnostyki zaszyfrowanego pliku poprzez wysłanie zaszyfrowanego pliku / notatki Ransomware na serwer usługi ID Ransomware - KLIK. Dostarcz wynik analizy, np. zrób zrzut ekranu.
Od razu powiem, że jeśli narzędzie zidentyfikuję wariant Ransomware, na którego nie ma dekodera to zalecana jest kompleksowa reinstalacja systemu, z powodu innych możliwości wykorzystania infekcji (np. wykradania haseł).