Media Player 1.1

[Velden]

Witam. Rozglądałem się już po forum w poszukiwaniu rozwiązania tego problemu, ale widzę, że wymaga on pomocy indywidualnej. Od wczoraj zauważyłem dziwne odnośniki podczas przeglądania stron i wyskakujące okna z reklamami, co nie powinno mieć miejsca gdyż korzystam z AdBlockera. Skanowanie Malwarebytes' i AdwCleaner znalazło kilka niepoprawności. Jednak Media Player wciąż nie chce ustąpić. Ciągle pokazuje się w Chrome jako rozszerzenie. Proszę o pomoc.

 

Z góry dziękuję za pomoc. Jeśli coś będzie nie tak z hostingiem, proszę dać znać, skorzystam z innego.

Addition.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Extras.Txt

FRST.txt

mbam-log-2014-02-11 (08-16-14).txt

OTL.Txt

Przeklej.txt

[picasso]

Wstępne uwagi na temat używanych skanerów:

- SpyHunter: program wątpliwej reputacji. Stosowane praktyki nacisku i zwabienia w meandry płatności. Instalator do usunięcia o programie zapomnij.

- AdwCleaner: pobrany z nieautoryzowanej strony (C:\Users\User\Downloads\AdwCleaner_www.INSTALKI.pl.exe). Jedyna strona gwarantująca najnowszą wersję to strona domowa.

 

W kwestii problemu głównego, widzę to rozszerzenie w Google Chrome:

 

CHR Extension: (Media Player) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfkkbpflogcecehhkgifepmhgfipedag [2014-02-10]

 

I wiem jak to wygląda, bo mam w wirtualnej maszynie testowe rozszerzenia tego typu, w tym ów "Media Player". To rozszerzenie powinno być zablokowane polityką zlokalizowaną w pliku Registry.pol. W Twoim logu jednak widzę tylko jeden folder GroupPolicy Windows niedawno odświeżony a nie główny w system32:

 

2014-02-10 15:59 - 2009-07-14 04:20 - 00000000 ____D () C:\windows\SysWOW64\GroupPolicy

 

Będę sprawdzać zawartość folderów, więc akcje zostaną podzielone i wstępnie "Media Player" nie będzie ruszany, gdyż to reset polityk ma go usunąć automatycznie. Wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM-x32 - No Name - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File
FF Plugin-x32: @Nero.com/KM - C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
S3 dump_wmimmc; \??\C:\Program Files\gPotato.eu\Rappelz\GameGuard\dump_wmimmc.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 TDEIO; \??\C:\Windows\SysWOW64\sysprep\BOOTPRIO\tdeio64.sys [X]
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\MediaPlayerV1
C:\windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
Folder: C:\Windows\system32\GroupPolicy
Folder: C:\Windows\SysWOW64\GroupPolicy
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {F05BE2D7-06EE-4634-9904-928228DD9C5F} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[Velden]

Witam. Oto pliki. Program FRST chyba podmienia pliki bo tamten stary FRST.txt był w tym folderze, ale wszystko wygląda ok.

Fixlog.txt

FRST.txt

[picasso]

Oczywiście FRST podmienia logi w folderze, z którego się uruchamia. Stare logi są archwizowane w folderze C:\FRST\Logs, ale tam nie grzeb.

 

Ręczny pobór informacji o blokadach GroupPolicy okazał się już w zasadzie niepotrzebny. Dokładnie rozpisałam te przypadki i metodę rozwiązywania, na podstawie tego autor wczoraj w nocy dodał super pomocną detekcję tego w FRST. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: copy C:\Windows\system32\GroupPolicy\User\Registry.pol C:\Users\User\Desktop
GroupPolicy: Group Policy on Chrome detected 
C:\Windows\SysWOW64\GroupPolicy\gpt.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Jest to konieczne, by reset polityk wszedł w życie. Zrób nowy skan FRST (bez Addition). Dołącz też plik fixlog.txt. Na Pulpicie powstała kopia pliku Registry.pol, zapakuj do ZIP i wyślij mi paczkę na PW.

 

 

 

.

[Velden]

Zrobione. Proszę oto pliki.

Fixlog.txt

FRST.txt

[picasso]

Polityka została pomyślnie usunięta. Teraz wejdź do Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Media Player. Na wszelki wypadek zresetuj system, następnie otwórz ponownie Google Chrome i potwierdź, że rozszerzenie nie wróciło.

 

 

 

.

[Velden]

Cóż... nie było to potrzebne. Rozszerzenie samo zostało usunięte. Dziękuję za pomoc i czuję się zobowiązany do wsparcia serwisu.

[picasso]

Tak, miało samo zniknąć (opracowywałam procedury usuwania), dlatego w podejściu resetującym polityki nie zadałam do usuwania folderu tego rozszerzenia. Ale końcowy log FRST po operacji nadal pokazywał folder rozszerzenia na dysku:

 

CHR Extension: (Media Player) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfkkbpflogcecehhkgifepmhgfipedag [2014-02-10]

 

Dla świętego spokoju sprawdź czy jest w podanej lokalizacji folder o identyfikatorze mfkkbpflogcecehhkgifepmhgfipedag.

 

 

 

Dziękuję za pomoc i czuję się zobowiązany do wsparcia serwisu.

Dziękuję.

 

 

.