Miszel03

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. Skan wykonywany przez CyberTarcze jest bardzo limitowany, ocena na podstawie IP, nie jest skanowany system.

Kosmetyka: kasacja martwych usług i pustych skrótów. 

 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
C:\Users\Camilo\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1059325536_pl.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Config.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Config.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4TransferredMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4ScreenShots.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Saves.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Replays.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Patch.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Logs.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMods.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMaps.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomAssets.lnk
C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Config.lnk
C:\Users\Camilo\Links\Skany.lnk
EmptyTemp:

Zadałem niepotrzebnie te zadania, bo bieżący adres jest w porządku, natomiast podany jako amerykański, jest już martwy. Przepraszam, za niepotrzebne zamieszanie.

W takim razie możesz teraz zmienić hasło do swojego konta pocztowego, tak na wszelki wypadek. Jeśli nie ma żadnych powikłań po wykonywanych tutaj czynnościach to będziemy kończyć (bo czynnych infekcji brak).

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz punkty przywracania systemu - KLIK / KLIK. 

W raportach brak oznak infekcji. Ja również nie mogę wejść na tą stronę - być może jest na niej założona jakaś blokada geolokalizacji. (Możesz próbować ewentualnie wejść przy wyłączonym oprogramowaniu antywirusowym oraz dodatkach w przeglądarkach).

W skrypcie kasacja modyfikacji grup polityk oraz szczątek po rożnych programach.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction GroupPolicy\User: Restriction SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 cmdAgent; no ImagePath
U3 ufdiipob; \??\C:\Users\Browar\AppData\Local\Temp\ufdiipob.sys [X]
EmptyTemp:

Wygląda na to, że jest OK. Jak z Twojej strony przedstawia się sytuacja?

Usuniemy te amerykańskie adresy DNS.

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

2. Przez menu Start uruchom wiersz poleceń cmd.exe (jako administrator) i wpisz frazę ipconfig /flushdns i ENTER. Uruchom ponownie komputer.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Raporty zostały wykonane bardzo starą wersją narzędzia Farbar Recovery Scan Tool (wersja sprzed 631 dni!). Pobierz najnowszą wersję (KLIK) i wykonaj nią raporty.   

-pełne skanowanie programem malware bytes Anti-Malware (zarażonych plików 4)

- skanowanie ADWCleaner (wykrytych zagrożeń 20)

Dostarcz raporty z tych działań. 

OK. 

Kończymy. 

Pomieszały mi się logi (a właściwe nazwy użytkownika) - przepraszam. W trzech ostatnich linijkach już nazwa użytkownika została zmieniona, o ile nie wykonałeś jeszcze pkt. 1 to wykonaj teraz, ewentualnie gdybyś już wykonał to przetwórz te 3 linijki skryptu:

C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\Profiles

sposób zapisu i wykonania ten sam co w poście wyżej (patrz pkt. 1). 

W raportach tak jak już się w pewnie domyślasz brak oznak aktywnej infekcji. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange.

Do wykonania tylko drobna kosmetyka oraz usunięcia szczątek po przeglądarce FireFox adware / PUP. 

1. Otwórz Notatnik w nim wklej: 

CloseProcesses:
CreateRestorePoint:
GroupPolicy\User: Ograniczenia 
CHR HomePage: Default -> hxxp://trafficmonsoon.com/member/seecashlinks.php
CHR StartupUrls: Default -> "hxxp://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HI_S1VZJ90S514009&ts=1347652402","hxxp://do-search.com/?type=hp&ts=1432369109&z=4e3e087fde3d9ed862ef3c5g7z1ceo5cbq9tag8efo&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90S514009"
CHR DefaultSearchURL: Default -> hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t
CHR DefaultSuggestURL: Default -> hxxp://suggestqueries.google.com/complete/search?q={searchTerms}
C:\Users\Lucas\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\Profiles
EmptyTemp:

AdwCleaner to program służący do usuwania wszelkiej maści adware / PUP, raczej nie nadaję się do użycia w przypadku wykrycia takich działań. Przechodząc do sedna: w raportach brak oznak czynnej infekcji, są ślady mogące wskazywać na wcześniejsze jej istnienie (modyfikacja polityk grup Windows Defender, ale to może mieć związek z wspomnianym przez Ciebie problem z programem Tencent). Mam natomiast jeszcze jedno pytanie, a mianowicie: czy amerykańskie adresy DNS (KLIK / KLIK) na routerze są ustawione przez Ciebie? 

Witam, jak usunąć klucze rejestru znajdujące się w kwarantannie? 

Z raportu wynika, że klucze zostały przywrócone, więc w poniższym skrypcie je kasuje (i już ich tam nie będzie). Wykonaj poniższe punkty.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Windows Defender 
SearchScopes: HKLM -> {B74C49A1-6F11-452F-811A-72D26235E213} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
Task: {93F1413F-F7C0-402C-AC7B-CAAEE49D7E4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\GG dysk.lnk
C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\HTTrack Website Copier.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink 3.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink Information.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\Uninstall DVD Shrink.lnk
DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions
DeleteKey: HKLM64\SOFTWARE\Classes\PCMgrRepairIEExtensions
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall
EmptyTemp: