Wyskakujące reklamy i otwierające się strony

[sentek70]

Dostałem dzisiaj drugiego laptopa od znajomych, którym ostatnio pomagałem z niechcianym softem. Na tym komputerze podobnie wyskakują reklamy oraz otwierają się nowe strony. Po pewnym czasie przeglądarka traci połączenie z netem – nie można wyświetlać żadnych stron. W takim przypadku pomaga tylko restart.

 

Prośba o sprawdzenie załączonych logów.

Z góry dziękuję

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

Niewątpliwie jest dużo obiektów adware, w tym starocie. Był tu uruchamiany AdwCleaner, nie wiadomo jaka to wersja i co w nim robiłeś. Wykonaj poniższe działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [325408 2014-09-18] ()
R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [325408 2014-09-18] ()
R1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [61112 2014-04-24] (StdLib)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\...\Run: [Google Update] => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-07-15] (Google Inc.)
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe
ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=010812_hplgoff_3112_1&babsrc=HP_ss&mntrId=1609917600000000000072de2ba42fed
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275
SearchScopes: HKCU - Backup.Old.DefaultScope {4B522D67-F3FD-4546-91B4-48FCC5F93147}
SearchScopes: HKCU - 476B7487775F4F2FB1983A70803165B8 URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010812_hplgoff_3112_1&babsrc=SP_ss&mntrId=1609917600000000000072de2ba42fed
SearchScopes: HKCU - {4B522D67-F3FD-4546-91B4-48FCC5F93147} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [pbpjplgmaeigbnpadeajipebdlihpcfn] - C:\Program Files (x86)\BatBrowse\pbpjplgmaeigbnpadeajipebdlihpcfn.crx [2014-09-18]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
GroupPolicy: Group Policy on Chrome detected 
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {091FFF21-6207-40EE-B579-8CF4C84410B8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.)
Task: {3C023AD7-0B35-4C72-B67B-68D1814BE44C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core => C:\Users\Domuś\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-31] (Google Inc.)
Task: {6E0C3783-F990-45B2-8B38-9703C707F991} - System32\Tasks\Norton Security Scan for Domuś => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation)
Task: {A6010B07-B249-48FF-8F5B-04D63F53BE08} - System32\Tasks\{6BA38A07-960D-471F-B4B4-8580AA56D87C} => Iexplore.exe http://www.skype.com/go/downloading?source=installer&ver=6.1.0.129.272&LastError=-9
Task: {A8472EBA-D425-448C-B0FE-C31EBAE4D402} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.)
Task: {A8B9FFA2-7289-4C61-8DF5-CA82575C0E04} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe 
Task: {D9AD3F10-75E6-4C6B-9D05-3666EE8E84B7} - System32\Tasks\Norton Security Scan for admin => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation)
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003UA.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Norton Security Scan for admin.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
Task: C:\Windows\Tasks\Norton Security Scan for Domuś.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
C:\Program Files (x86)\mozilla firefox
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Security Scan
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\ProgramData\Temp
C:\Users\admin\AppData\Local\{*}
C:\Users\admin\AppData\Roaming\Babylon
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppSafe
C:\Users\admin\Desktop\AppSafe.lnk
C:\Users\admin\Downloads\yet_another_cleaner_gam.exe
C:\Users\Ania\AppData\Local\Pay-By-Ads
C:\Users\Ania\Desktop\Programy\Norton Security Scan.LNK
C:\Users\Domuś\AppData\Roaming\DealPly
C:\Users\Domuś\Desktop\Co to tu robi wgl\FlvPlayer.lnk
C:\Users\Domuś\Desktop\Co to tu robi wgl\Norton Security Scan.LNK
C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys
Reg: reg delete "HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions
Folder: C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences"
CMD: type "C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Preferences"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware i zbędne aplikacje:

 

Adobe Flash Player Packages, AppCloudUpdater, AppSafe, BatBrowse 1.0.0, FlvPlayer, Norton Security Scan (prawdopodobnie instalacja sponsorowana), MyFreeCodec Samsunga

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj BatBrowse, Funmoods, Funmoods Chat
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Wygląda na to, iż w systemie są trzy konta: admin (z tego dostarczone logi), Ania i Domuś. Zaloguj się na każde po kolei i zrób na każdym nowe logi FRST z opcji Scan (pole Addition zaznaczone). Dołącz też plik fixlog.txt. I objaśnij co się działo z AdwCleaner + dostarcz logi z folderu C:\AdwCleaner.

 

 

 

.

[sentek70]

Ad 1. Wykonane - log w załączeniu.

 

Ad 2. Wykonane

 

Ad 3. Wykonane częściowo. W Ustawienia > karta Rozszerzenia nie znajduję BatBrowse, Funmoods, Funmoods Chat. Czy możliwe, że zostały usunięte przy odinstalowywaniu programów z pkt. 2?

 

Ad 4. Logi z dwóch pozostałych kont w załączeniu.

Jeśli chodzi o AdwCleaner to w poprzednim wątku napisałaś mi, że nie należy go uruchamiać na w pełni zainstalowanych programach adware. Tak więc tym razem go nie uruchamiałem. Faktem jest, że katalog AdwCleaner istnieje na dysku C. Niestety nie potrafię powiedzieć kto i kiedy go uruchamiał. W katalogu nie ma żadnych plików. Jest tylko katalog Quarantine.

Fixlog.txt

Ania_Addition.txt

Ania_FRST.txt

Domuś_Addition.txt

Domuś_FRST.txt

[picasso]

Z dodatkowych logów tylko pliki Adddition miały być dostarczone, gdyż tam może być notowana różnica między kontami. Shortcut usuwam, jest wspólny i pokazuje to samo niezależnie od zalogowanego konta. Wszystkie logi główne FRST są identyczne i wcale nie są zrobione z poziomu kontekstu kont Adnia i Domuś tylko z poziomu konta admin:

 

Ran by admin (administrator) on ADMIN-KOMPUTER on 20-09-2014 09:30:17

 

Jeśli te dwa konta nie mają uprawnień administracyjnych, prawdopodobnie przy starcie FRST użyłeś opcję "Uruchom jako Administrator", co zmieniło kontekst konta. Proszę zaloguj się po kolei na Ania i Domuś, uruchom FRST normalnie przez dwuklik i nie stosuj opcji "Uruchom jako Administrator".

 

 

 

 

.

[sentek70]

Zrobiłem dokładnie tak jak napisałaś, czyli użyłem opcji "Uruchom jako Administrator"

Tak więc jeszcze raz logi, tym razem po dwu-kliku.

 

Dziękuję i pozdrawiam 

Ania_Addition.txt

Ania_FRST.txt

Domuś_Addition.txt

Domuś_FRST.txt

[picasso]

Akcja po kolei na zalogowanych kontach:

 

 

DOMUŚ

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
URLSearchHook: HKCU - (No Name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No File
SearchScopes: HKCU - DefaultScope {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286
SearchScopes: HKCU - {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com", "hxxp://www.msn.com/?pc=AV01"
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt.

 

2. Otwórz Google Chrome Domusia i w nim:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

ANIA

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1826986473-2377712830-1707152965-1010\...\Run: [Yahoo! Search] => C:\Users\Ania\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe


HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na

Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

 

 

ADMIN

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File

ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File

ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File

DeleteQuarantine:

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt.

 

 

 

 

 

.

[sentek70]

Wszystkie operacje wykonane. Logi w załączeniu.

 

Admin_Fixlog.txt

Ania_Fixlog.txt

Domuś_Fixlog.txt

Domuś_FRST.txt

[picasso]

1. Drobne poprawki z poziomu konta admin. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\Software\Policies\Google
DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}
DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}
RemoveDirectory: C:\Program Files (x86)\MyFree Codec
RemoveDirectory: C:\ProgramData\Norton

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt.

 

2. Jeszcze mam pytanie: to na pewno wszystkie konta obecne w systemie? Jakoś ominęłam wzrokiem, że na dysku jest także folder C:\Users\Edyta. To konto istnieje czy może folder to odpadek?

 

 

.

[sentek70]

Tak, w systemie są tylko 3 konta. Sprawdziłem, istnieje katalog C:\Users\Edyta ale jest pusty. W Panel sterowania > Konta użytkowników > Zarządzanie kontami nie ma konta Edyta.

 

Fixlog.txt

[picasso]

1. Jest problem ze skasowaniem trzech wpisów z konta Domuś, z poziomu tego konta wpisy zwracają błąd podobny do braku uprawnień, a z kolei na adminie są one niewidoczne. Sprawdź czy dasz radę zrobić coś takiego na Domusiu:

 

Start > w polu szukania wklep regedit > wyszukaj klucz:

 

HKEY_CURRENT_USER\Software\Policies\Google

 

Czy jest możliwe usunięcie tego klucza "Google" z prawokliku? Jeśli nie, prawoklik na klucz > Uprawnienia > pokaż listę kont.

 

2. Następnie, z każdego konta po kolei zrób logi AdwCleaner z opcji Szukaj i je dostarcz.

 

 

 

Sprawdziłem, istnieje katalog C:\Users\Edyta ale jest pusty. W Panel sterowania > Konta użytkowników > Zarządzanie kontami nie ma konta Edyta.

Folder możesz przez SHIFT+DEL (omija Kosz) skasować.

 

 

 

.

[sentek70]

Przy próbie ręcznego usunięcia klucza przez regedit otrzymywałem komunikat Nie można usunąć Google: błąd przy usuwaniu klucza. Zmieniłem więc "na chwilę" typ konta Domuś na administrator i ponownie uruchomiłem FRST z trzema kluczami do usunięcia. Wygląda na to, że klucze zostały usunięte -> log w załączeniu.

 

Logi z AdwCleaner również w załączeniu. AdwCleaner przy dwu-kliku zażądał uruchomienia przez konto Administratora.

 

Fixlog.txt

Admin_AdwCleanerR0.txt

Ania_AdwCleanerR1.txt

Domuś_AdwCleanerR2.txt

[picasso]

OK, tamte klucze z głowy. Jeśli chodzi o te trzy logi z AdwCleaner, to obawiam się że "uruchomienie jako Administrator" zmieniło kontekst konta i klucze HKCU są wykryte tylko na jednym koncie, czyli admin. Uruchom z poziomu admina AdwCleaner, zastosuj Szukaj + Usuń. Następnie sprawdź czy na pozostałych kontach AdwCleaner coś wykrywa.

 

 

 

.

[sentek70]

Jeśli chodzi o konto admin to zrobiłem jak napisałaś.

Typy dwóch pozostałych kont zmieniłem ich typ na administratora i odpaliłem na nich AdwCleaner. Dla użytkownika Ania znalazł 3 klucze, natomiast dla użytkownika Domuś znalazł trochę więcej rzeczy.

Ania_AdwCleanerR4.txt

Domuś_AdwCleanerR5.txt

[picasso]

1. Na tych kontach zastosuj Usuń w AdwCleaner. Po tym przywróć im charakter limitowany, a dalsze akcje już z poziomu admina:

 

2. Pozbądź się narzędzi z C:\Czyszczenie i popraw przy udziale DelFix.

 

3. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

 

 

.

[sentek70]

Wykonane wszystkie punkty. Jeśli chodzi o DelFix to po wykonaniu pokazał się log w którym wypisał usunięte programy lecz po jego zamknięciu nie znajduję pliku C:\delfix.txt

 

Bardzo dziękuję za pomoc