Yahoo Search i Toolbar

[kasownik]

Witam!

 

Cos sie zagniezdzilo w chrome, resetowanie chroma nic nie daje, po uruchomieniu yahoo znowu wyskakuje jak diabelek z pudelka

Logi w zalacznikach

 

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[jessica]

W logach nie ma niczego z YAHOO

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

 

S2 Update Mgr RollAround; "C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe" [X]
C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf
S3 EraserUtilDrv11311; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11311.sys [X]
S3 SBIOSIO; \??\C:\Users\Juleczka\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0001.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0002.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0003.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0002.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0004.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0003.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0005.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0006.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0001.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0007.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0002.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0008.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0003.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0009.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0004.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0010.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0005.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0011.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_07_22\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0012.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_04\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0013.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_04\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0014.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_17\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0015.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_26\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0016.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_26\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0017.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_03_03\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0018.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_03_03\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0019.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_04_17\IMG.jpg (No File)
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

 

jessi

[kasownik]

Ciekawe, bo za kazdym razem jak chrome byl resetowany do ustawien fabrycznych, po ponownym uruchomieniu wskakiwal yahoo toolbar

 

Fix wykonany, skan z fixa i nowy w zalacznikach.

 

 

Fixlog.txt

FRST.txt

[jessica]

W nowym logu - nic podejrzanego.

 

Uruchom FRST.

W polu SEARCH wklej:

 

yahoo*.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH wklej:

 

yahoo

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

 

A przede wszystkim - czy problem dalej występuje?

 

jessi

[kasownik]

Nie, problem znikl po pierwszym fix'ie.

Zastanawia mnie, ze skoro nic nie bylo z yahoo, to czemu sie odtwarzal caly czas w chromie?

Szukanie zrobione, logi w zalacznikach.

 

Search.txt

Search2.txt

[jessica]

Nie, problem znikl po pierwszym fix'ie.

Skoro problem znikł, to wyszukiwanie dodatkowe było niepotrzebne.

 

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

[picasso]

jessika

 

Drobny komentarz: skoro usuwasz wpisy z Shortcut, to musisz ścieżki przetworzyć w pełny sposób, usuwając również docelowe ścieżki z (No File). FRST w ogóle tych wpisów nie usunął i nie dlatego, że ich nie było na dysku, tylko ze względu na to że podano złe ścieżki. Pomarańczowy wtręt nie może być w Fixlist:

 

C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0001.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG.pdf (No File)

 

A wszystkie skróty historii nawigatora Canon załatwiłaby jedna prosta komenda bez żadnego nakładu pracy z przetwarzaniem ścieżek:

 

C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk

 

 

 

kasownik

 

Nie, problem znikl po pierwszym fix'ie.

Zastanawia mnie, ze skoro nic nie bylo z yahoo, to czemu sie odtwarzal caly czas w chromie?

Podstawowy powód samodtwarzania po resecie ustawień to:

- Aktywne rozszerzenie i jego reinstalator na poziomie rejestru. Reset ustawień nie usuwa rozszerzeń wtórnych, tylko je deaktywuje. To mogłoby wystarczyć, gdyby nie to że reset w ogóle nie usuwa wpisów z rejestru i aktualizacja z Google Chrome Web Store może nadpisać zresetowane ustawienia.

- Czynna sychronizacja z serwerem Google, z serwera są przywracane zapamiętane ustawienia, czyszczenie lokalnie na nic. W takim przypadku resetuje się synchronizację przed podjęciem kroków w lokalnym Chrome.

Z tym, że jeżeli Fix jakoby pomógł, to nic się nie zgadza, gdyż FRST ani nie został poinstruowany w kwestii numer jeden, ani nie rusza baz synchronizacji (żaden program usuwający tego nie robi, również AdwCleaner nie wyczyści stamtąd adware). Fix nie zawierał żadnych dodatkowych obiektów związanych z Chrome, choć była komenda EmptyTemp:, która czyści Cookies, Historię i HTML5 Local Storage Chrome. Jeśli problem nagle ustąpił, to nie widzę innego wyjaśnienia że opróżnienie (lub ... uszkodzenie) któregoś z magazynów miało coś do rzeczy. Ale:

 

 

Nie sądzę, że problem jest rozwiązany w 100%, gdyż log FRST pokazuje obiekt wyglądający na powiązany z Yahoo. W wynikach wyszukiwania FRST stoi, że kiedyś AdwCleaner usuwał skrypt Yahoo z konkretnego folderu Nortona:

 

C:\AdwCleaner\Quarantine\C\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2014.7.12.12_0\SafeWeb\Scripts\Yahoo.js.vir

 

Rozszerzenie o ID mkfokfffehpeedafpekjeddnmnjhmcmk to jest pasek Norton Identity Protection z funkcją SafeWeb, która jest powiązana z konkretnym dostawcą wyszukiwania i wygląda na to, że obecnie sponsorem jest Yahoo. To już usunięty przez AdwCleaner nieaktywny folder, tylko że w Google Chrome jest w pełni zainstalowany pasek Nortona o ID iikflkcanblccfahdhdonehdalibjnif, na dodatek są na poziomie rejestru owe reinstalatory ładujące go w kółko z Google Chrome Web Store:

 

Chrome:

=======

CHR Extension: (Norton Identity Safe) - C:\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif [2014-10-25]

CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx

 

Działania pod kątem szczątków Nortona i innych:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
HKU\S-1-5-21-3676795516-2390992231-3671279854-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.1.0.18
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1213153.dll No File
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation)
Task: {0BC0B3DE-93C3-4EE5-AE90-63E3A3480FF1} - System32\Tasks\{CE89B7B2-909A-40F7-868B-7E8660E7B808} => pcalua.exe -a "C:\Users\Juleczka\Downloads\wlsetup-web (2).exe" -d C:\Users\Juleczka\Downloads
Task: {2B49FFF3-5BC4-4C5A-B65C-E9830B25BFD3} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe
Task: {79F2029F-B7AF-4C67-8F17-8A38826CF3AC} - System32\Tasks\{9DC21278-363B-4CDD-84AB-32847C27BBFB} => pcalua.exe -a "C:\Users\Juleczka\Downloads\Shockwave_Installer_Slim (1).exe" -d C:\Users\Juleczka\Downloads
Task: {7D9BEF53-3BA5-4168-82C8-FE7CFD3EF49E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\WSCStub.exe
Task: {A7AB860B-5761-4F91-AEC4-4FA51A1CA145} - System32\Tasks\{16787399-11FF-4B00-A91F-D5FBB5CF4860} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsMain
Task: {CA998441-84A7-430D-B8CC-C5ECFF00EA23} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe
Task: {E78C2322-B219-45B1-85C7-0DB367C32A0E} - System32\Tasks\{89A2373E-5DF0-44B8-B332-8D14454B55F4} => pcalua.exe -a C:\Users\Juleczka\Desktop\wlsetup-web.exe -d C:\Users\Juleczka\Desktop
Task: {F23B3ED5-2BB5-489D-9D4C-D673502F26B1} - System32\Tasks\{6E1A3841-5FF4-45F7-BE68-3D7CA3A8D99A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000"
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360
C:\Program Files (x86)\Mozilla Firefox
C:\Users\Juleczka\AppData\Local\Opera Software
C:\Users\Juleczka\AppData\Roaming\Opera Software
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk
C:\Users\Juleczka\AppData\Roaming\Microsoft\Word\552640c533343304409191063414177\552640c533343.doc.lnk
C:\Windows\System32\Tasks\Norton 360
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przedstaw wynikowy fixlog.txt.

 

2. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Norton Identity Safe, o ile nadal będzie widoczny.

3. Ręcznie sprawdź co jest w poniższym folderze a jeśli nic ważnego, wywal:

 

C:\Users\Juleczka\Documents\Symantec