Skocz do zawartości
imusewindows

Usuwanie kluczy rejestru z w AdwCleaner

Rekomendowane odpowiedzi

Witam, jak usunąć klucze rejestru znajdujące się w kwarantannie? 

 

Mam nadzieję, że to dobry dział :)

 

Skanowanie dokonałem gdyż podczas logowania na pocztę ukazała się informacja o niepożądanym działaniu na koncie i podejrzeniu przechwycenia hasła przez wirusa na komputerze, po czym musiałem zmienić hasło

 

Dodaję obowiązkowe logi  

 

Dodam, że jakiś czas temu miałem infekcję związaną z chińskim oprogramowaniem Tencen

 

Proszę o pomoc 

Quarantine_11052016163635.txt

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu. Nie powiedziałeś co się dzieje, jaki jest problem. Dlaczego odpaliłeś AdwCleanera itp...

Opisz problem, zrób wymagane logi:

Zapoznaj się proszę z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić.
Postępując zgodnie z powyższymi instrukcjami - edytuj post i dołącz wymagane logi do tematu w postaci załączników ".txt".
Łącznie mają być 4 logi: (GMER [ręcznie wklejasz wynik skanowania do pliku GMER.txt], FRST [FRST.txt, Addition.txt, Shortcut.txt],
Jak coś nie będzie chciało się uruchomić - to odpal system w trybie awaryjnym i wtedy spróbuj zrobić logi.
Jeśli z czymś będzie problem - pisz w poście.
Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - by logi były aktualne.
Jak coś zmieniasz w poście to używaj opcji "edytuj" by był porządek.
Czekaj cierpliwie na pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jako że nie uzyskałem odwiedzi dodam tekst komunikatu z poczty o2 który skłonił mnie do działań opisanych w pierwszym poście

 

Zmień hasło!

Wykryliśmy na tym koncie niepożądane działanie!
Dotychczasowe hasło zostało najprawdopodobniej przechwycone przez wirusa który może znajdować się na twoim komputerze.
Aby korzystać dalej ze swojej skrzynki użyj programu antywirusowego, a następnie zmień hasło

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

AdwCleaner to program służący do usuwania wszelkiej maści adware / PUP, raczej nie nadaję się do użycia w przypadku wykrycia takich działań. Przechodząc do sedna: w raportach brak oznak czynnej infekcji, są ślady mogące wskazywać na wcześniejsze jej istnienie (modyfikacja polityk grup Windows Defender, ale to może mieć związek z wspomnianym przez Ciebie problem z programem Tencent). Mam natomiast jeszcze jedno pytanie, a mianowicie: czy amerykańskie adresy DNS (KLIK / KLIK) na routerze są ustawione przez Ciebie? 

 

Witam, jak usunąć klucze rejestru znajdujące się w kwarantannie? 

 

Z raportu wynika, że klucze zostały przywrócone, więc w poniższym skrypcie je kasuje (i już ich tam nie będzie). Wykonaj poniższe punkty.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Windows Defender SearchScopes: HKLM -> {B74C49A1-6F11-452F-811A-72D26235E213} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} Task: {93F1413F-F7C0-402C-AC7B-CAAEE49D7E4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\GG dysk.lnk C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\HTTrack Website Copier.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink 3.2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink Information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\Uninstall DVD Shrink.lnk DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM64\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Przeskanuj system swoim oprogramowaniem antywirusowym Avast oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie znalezione przez nie nagrożenia poddaj kwarantanni. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuniemy te amerykańskie adresy DNS.

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Przez menu Start uruchom wiersz poleceń cmd.exe (jako administrator) i wpisz frazę ipconfig /flushdns i ENTER. Uruchom ponownie komputer.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zadałem niepotrzebnie te zadania, bo bieżący adres jest w porządku, natomiast podany jako amerykański, jest już martwy. Przepraszam, za niepotrzebne zamieszanie.

 

W takim razie możesz teraz zmienić hasło do swojego konta pocztowego, tak na wszelki wypadek. Jeśli nie ma żadnych powikłań po wykonywanych tutaj czynnościach to będziemy kończyć (bo czynnych infekcji brak).

 

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz punkty przywracania systemu - KLIK / KLIK

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...