Nieusuwalne menu kontekstowe

[tada44]

Nie wiem , skąd pojawiły się takie wpisy w meni kontestowym : 7-zip,Offline Files,
ANotepad++64,
HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C}

Usunąłem ręcznie z rejestru ale po ponownym uruchomieniu programu się to pokazuje.Proszę o pomoc aby to trwale usunąć.

To mam na  laptopie windows -10 64bit i to samo mam na pc też windows 10 tylko 32 bit

Logi w załączeniu przywykonywaniu gmer pokazał się niebieski ekran.

Proszę o pomoc!!!!

Shortcut.txt

Addition.txt

FRST.txt

[jessica]

2015-02-07 09:40 - 2015-02-07 04:02 - 0001917 _____ () C:\Program Files (x86)\settings.dat

 

Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

 

Jak tylko zauważysz, że @Picasso zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

 

jessi

[tada44]

Sprawdziłem na tych dwóch programach i plik jest czysty!!

Czy nic innego Ci się nie wydaje podejrzane?

pozdrawiam!!!!

[jessica]

Nic innego nie jest podejrzane.

 

jessi

[tada44]

Dzięki!!!

Tylko jak tego dziadostwa się pozbyć???

[Anonim10]

W ustawieniach programu 7-zip, jak i innych, w opcjach jest zaznaczenie zintegrowania z menu kontekstowym. Kasowanie kluczy w tym przypadku jest niewłaściwe. Zmienia się wartości, żeby wyłączyć.

Trzeba wejść w opcje programów, które są zintegrowane z menu kontekstowym i poodznaczać.

 

Drugie, to programik do menu kontekstowego.  http://www.nirsoft.net/utils/shexview.html

Na dole stronki jest spolszczenie. Od XP, do Win10. Pokazuje wszystkie systemowe, jak i to wszystko, co wyświetla się z PPM menu programów, na przykład otwórz za pomocą, wypakuj do folder itp. Zaznaczyć i wyłączyć, jak kto chce.

[tada44]

Poodznaczać to co to znaczy.Bo ja narazie w programie  ccleaner w meni autostart jest podmeni  menu kontekstowe i tam( najpierw usuwałem ale po restarcie systemu pokazywało się ponownie) a teraz odznaczyłem aby wyłączył aleto nic nie daje.i wpisy się dalej  pokazują

A może w tych kluczach zmienić jakieś wartośći ? Czy tak????

Próbowałem zmienić w tych kluczach uprawnienia ale to też nic nie dało!!!!

[Anonim10]

Tak odznaczasz http://prntscr.com/8h5137

Wtedy dajesz zastosuj i jest po Twojemu. Na jakiś spakowany folder klikasz PPM i nie masz w menu 7-zip. Według życzeń.

 

Wtedy w ccleaner, autostart, w menu kontekstowym, tego programu już nie pokaże. Amen. Wtedy używasz program 7-zip, gdy użyjesz 7-zip file manager.

[tada44]

Ja tego programu np.7-zip nie instaloawałem ani nie używałem ten wpis z tymi plikami Offline Files,

ANotepad++64,7-zip   pokazuje się w tym menu ccleanera  i w rejestrze kluczy natomiast w PPM to się nie pokazuje.

To są jakieś śmieci do jakiegość innego pliku podczepione i automatycznie się instalują bez mojego udziału.Dlatego chcę to usunąć gdyż tych programów w wykazie moich plików nie ma- tylko w rejestrze się pokazują- to jest w tym kluczu :HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers

[Anonim10]

Ano, miałem podobnie. ShellBag Analyzer pokazywał, że w panelu sterowania i systemu jest coś takiego: {CCE6191F-13B2-44FA-8D14-324728BEEF2C},::{CCE6191F-13B2-44FA-8D14-324728BEEF2C}

Wydłubałem, że jest to coś takiego: 12:41:04,{CCE6191F-13B2-44FA-8D14-324728BEEF2C},::{CCE6191F-13B2-44FA-8D14-324728BEEF2C},System,40,SOFTWARE\Microsoft\Windows\ShellNoRoam\BagMRU\4,ShellNoRoam,"(42,32)","(969,600)",1899-12-30,1899-12-30,1899-12-30

 

Tu jest shellbag analyzer nawet pod win10 http://privazer.com/download-shellbag-analyzer-shellbag-cleaner.php

Rozpatrzysz się w programie. Jest super.

ShellBags klucze mogą zawierać informacje dotyczące folderów:
1. nazwy i ścieżki folderów otwarty na komputerach
(nawet jeśli folder został usunięty)
2. szczegółowych informacji sygnatury czasowej, czas utworzenia,
zmiana czasu, czas dostępu

 

No i nic się nie dało znaleźć w systemie, ani nawet w rejestrze. Dopiero kolega napisał skrypt restartujący shell, pod nazwą fix.reg, jako wszystkie pliki. Po scaleniu wcięło coś, czego nie było, a pokazywało w shellbag.

Jeśli chodzi o rejestr, to u mnie było to w HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell itd, a nic nie dało usuwanie CLSID

 

Tu Ci ktoś napisze też takie coś w przypadku, gdy usuwanie w shell analyzer nie pomoże.

[tada44]

Przeskanowałem tym shellbag analyzer ale efektów brak nie pokazuje tych nazw,poczekam na Picaso ,może coś wymyśli.

Dzięki za zainteresowanie!!!!

pozdrawiam

[Anonim10]

I w tym maluśkim programiku ze spolszczeniem można wyłączać z memu kontekstowego http://www.programosy.pl/program,shellmenuview.html

 

Pozdrawiam

[tada44]

Też przeskanowałem ale te wpisy dalej są!!!!!

Dzięki

[picasso]

Gedo

 

ShellBags to inny obszar niż raportowany.

 

 

 

tada44

 

Temat przenoszę do właściwego działu, czyli Windows. To nie jest problem infekcji. PS. Do deinstalacji Ace Stream Media - ten program ma wbudowany moduł adware w playerze, aktywowany po predefiniowanym czasie. Program ten nie ma nic wspólnego z Twoim problemem głównym.

 

Nie wiem , skąd pojawiły się takie wpisy w meni kontestowym : 7-zip,Offline Files,

ANotepad++64,

HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C}

 

Usunąłem ręcznie z rejestru ale po ponownym uruchomieniu programu się to pokazuje.Proszę o pomoc aby to trwale usunąć.

 

To mam na laptopie windows -10 64bit i to samo mam na pc też windows 10 tylko 32 bit

Bo ja narazie w programie ccleaner w meni autostart jest podmeni menu kontekstowe i tam( najpierw usuwałem ale po restarcie systemu pokazywało się ponownie) a teraz odznaczyłem aby wyłączył aleto nic nie daje.i wpisy się dalej pokazują

A może w tych kluczach zmienić jakieś wartośći ? Czy tak????

Próbowałem zmienić w tych kluczach uprawnienia ale to też nic nie dało!!!!

Ja tego programu np.7-zip nie instaloawałem ani nie używałem ten wpis z tymi plikami Offline Files,

ANotepad++64,7-zip pokazuje się w tym menu ccleanera i w rejestrze kluczy natomiast w PPM to się nie pokazuje.

To są jakieś śmieci do jakiegość innego pliku podczepione i automatycznie się instalują bez mojego udziału.Dlatego chcę to usunąć gdyż tych programów w wykazie moich plików nie ma- tylko w rejestrze się pokazują- to jest w tym kluczu :HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers

Offline files to natywny wpis Windows i nie zależy go ruszać. Tutaj eksport rejestru z mojego systemu Windows 10:

 

Windows Registry Editor Version 5.00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip]

@="{23170F69-40C1-278A-1000-000100020000}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu]

@="{85BBD920-42A0-1069-A2E4-08002B30309D}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Library Location]

@="{3dad6c5d-2167-4cae-9914-f99e41c12cfa}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Offline Files]

@="{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\PintoStartScreen]

@="{470C0EBD-5D73-4d58-9CED-E91E22E23282}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]

@="Start Menu Pin"

 

To samo, lecz widziane w Autoruns w karcie Explorer po odznaczeniu w menu Options pozycji Hide Windows Entries:

 

 

 

Jeśli chodzi o inne zgłaszane wpisy, które nie są domyślne:

- Klasa {4A7C4306-57E0-4C0C-83A9-78C1528F618C} należy do Real Player Cloud.

- Raportujesz obecność 7-zip oraz Notepad++ (ANotepad++64), które ponoć nie były instalowane.

Obecność wpisów "znikąd" wydaje mi się niemożliwa. Na razie nie widzę innej możliwości, niż ta te programy były jednak kiedyś instalowane i zostały usunięte, a to co jest w CCleaner to szczątki. Czy ten Windows 10 to czysta instalacja czy upgrade z wcześniejszego systemu?

 

Podaj precyzyjne dane na temat menu kontekstowych, bo FRST w ogóle nie skanuje tej strefy, a w opisie jest mocny chaos:

 

1. W CCleaner w karcie Menu kontekstowe podświetl wszystkie wpisy i zapisz do pliku TXT, raport przeklej do posta.

 

2. Zrób log z Autoruns - w menu zapisu pliku przestaw z arn na format TXT.

 

3. I jeszcze dodatkowy eksport kluczy. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers /s
Reg: reg query HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers /s
Reg: reg query HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers /s
Reg: reg query HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers /s
Reg: reg query HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[tada44]

Wykonałem polecenia ad.pkt 1,2 i 3 w załączeniu logi.

Pytanie czy mam wykonać ten eksport rejestru z Twojego windowsa 10 "Tutaj eksport rejestru z mojego systemu Windows 10" na mój laptop czy ni?.

Laptop miał windowsa 8. pózniej 8.1 i ostatnio wgrałem czystą instalację  windowsa 10

Tych programów 7-zip itp. po instalacji windowsa 10 nie wgrywałem.

A program Ace Stream Media nie mam tylko mam Ace Player czy to jest to samo?

Jeszcze mam pytanie czy te same czyności mogę wykonać na drugim komputerze gdzie są te same wpisy w menu konekstowym tylko że on jest 32bit z sytemem też windows 10

startup.txt

TADA4.txt

Fixlog.txt

[picasso]

A program Ace Stream Media nie mam tylko mam Ace Player czy to jest to samo?

Wg raportu FRST program jest widziany pod nazwą "Ace Stream Media", no chyba że log nie odpowiada już bieżącej sytuacji:

 

Ace Stream Media 3.0.12 (HKU\S-1-5-21-852027150-3746939963-293083505-1001\...\AceStream) (Version: 3.0.12 - Ace Stream Media)

 

 

Pytanie czy mam wykonać ten eksport rejestru z Twojego windowsa 10 "Tutaj eksport rejestru z mojego systemu Windows 10" na mój laptop czy ni?.

Nie, eksport rejestru przecież pobrałam via FRST.

 

 

Jeszcze mam pytanie czy te same czyności mogę wykonać na drugim komputerze gdzie są te same wpisy w menu konekstowym tylko że on jest 32bit z sytemem też windows 10

Tylko punkt 3 z poprzedniego posta.

 

 

Tych programów 7-zip itp. po instalacji windowsa 10 nie wgrywałem.

Wpisy są w menu kontekstowych i nie widzę innej możliwości niż ta, że te programy musiały być w systemie. Tak się zastanawiam czy niektóre wpisy nie są przypadkiem pochodną instalacji Total Commander (on ma powiązania oraz pluginy do 7-zip i Notepad++).

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip

(Default) REG_SZ {23170F69-40C1-278A-1000-000100020000}
 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64

(Default) REG_SZ {B298D29A-A6ED-11DE-BA8C-A68E55D89593}
 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip

(Default) REG_SZ {23170F69-40C1-278A-1000-000100020000}
 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C}

 

Podaj mi jeszcze skan na klasy powiązane z tymi wpisami. Do Notatnika wklej:

 

Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{B298D29A-A6ED-11DE-BA8C-A68E55D89593} /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[tada44]

wykonane!!!

 

Ps.Odinstalowałem Totall Commander ale te wpisy 7-zip itd dalej się pokazują

Fixlog.txt

[picasso]

Nie podawałam, by usuwać Total Commander, to były luźne spekulacje. Nie dojdę do tego skąd te klucze w systemie, skoro upierasz się, że programy nie było instalowane. One na pewno nie są związane z żadną szkodliwą działalnością.

 

Usuń te klucze. Do Notatnika wklej:

 

DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64
DeleteKey: HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip
DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[tada44]

Tak  wykonałem - fixlog w załączeniu.

To wygląda tak jak usunę  te klucze to w tym  menu się to nie pokazuje.Wyłączam tablet i ponwnie załączam i otwieram ccleaner i patrzę na wpisy w tym menu i jest ok .Ale po jakimś czasie te wpisy się uaktywniają .Chyba są przklejone to jakiegość programu, tylko jakiego ...

Jak to zlokalizować, w nerwia mnie że to się dzieje poza mną- uspakaja mnie Twoja opinia że to nie jest nic grożnego- ale autentycznie po zainstalowaniu windowsa 10 -takich programów świadomie  nie instalowałem

Fixlog.txt

[tada44]

Teraz po wykonaniu tego czyszczenia pokazuje się taki zestaw menu kontekstowego doszedł nowy element tj
File {4A7C4306-57E0-4C0C-83A9-78C1528F618C}

A może można zmienić uprawnienia do tych kluczy tak aby pozbawić właściela do dziedziczenia tych uprawnień , zrobiłem próbe na kluczu do
ANotepad++64 i się póki co nie pokazuje a 7-zip po ponownym uruchomieniu ,pokazał się ponownie ?
Bo jak na stałe usunąłem wszystkie opcje dziedziczenia to nie mogłem usunąć tych kluczy z rejestru!!

startup1.txt

[tada44]

Podczas ściągania nowej wersji ccleanera Esetnod 32 zablokował taki plik

"Godzina;Skaner hxxp://download.piriform.com/ccsetup511.exe;Win32/Bundled.Toolbar.Google

niebezpieczna aplikacja;połączenie zostało zakończone - poddany kwarantannie;TADA4\tada4;Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files (x86)\Internet Explorer\iexplore.exe.

Czy to może być przyczyną tych zapisów w menu konekstowym i jak to zlokalizować aby usunąć? 

Przy poprzednich instalacjach ccleaner blokowałem Eseta i może to się gdzieś zainsatalowało!!!

[picasso]

A może można zmienić uprawnienia do tych kluczy tak aby pozbawić właściela do dziedziczenia tych uprawnień , zrobiłem próbe na kluczu do

ANotepad++64 i się póki co nie pokazuje a 7-zip po ponownym uruchomieniu ,pokazał się ponownie ?

Bo jak na stałe usunąłem wszystkie opcje dziedziczenia to nie mogłem usunąć tych kluczy z rejestru!!

FRST wszystkie klucze usunął (omija uprawnienia). To że wracają nie jest związane z uprawnieniami. Co to tego że nie mogłeś usunąć kluczy: tak, bo wyzerowałeś uprawnienia - tam jest zadawane pytanie czy przy ściąganiu dziedziczenia kopiować uprawnienia czy usuwać. Lepiej nie grzeb ręcznie.

 

 

Podczas ściągania nowej wersji ccleanera Esetnod 32 zablokował taki plik

Tak, bo instalator CCleaner jest sponsorowany. Wg nazwy "zagrożenia" ESET widzi zintegrowany w instalatorze pasek Google, możliwe też paski Yahoo i inne śmieci. Czyste wersje CCleaner to slim i portable, przy czym obecnie na stronie pobierania widać tylko wariant portable: KLIK.

 

 

Proszę odrzuć koncepcję infekcji. To nie jest problem infekcji, powtarzam to już po raz drugi. Nie wiem co przywraca wpisy, ale te klasy nie są szkodliwe same w sobie i należą do wymienianych wcześniej programów. W diagnostyce co odtwarza te wpisy mógłby pomóc Process Monitor:

 

1. Ponownie zastosować Fix FRST usuwający klucze podany w poście #18.

 

2. W Process Monitor operacje:

• Zatrzymać bieżące nagrywanie poprzez klik w lupkę na pasku narzędzi (ma się "przekreślić"), następnie wyczyścić bieżący widok w menu Edit > Clear Display.
• W menu Filter > Filter... > skonfigurować filtry dodając trzy warunki: Path contains 7-Zip then Include + Path contains ANotepad++64 then Include + Path contains {4A7C4306-57E0-4C0C-83A9-78C1528F618C} then Include. Dla każdego klik w Add.
• Zacząć nagrywanie poprzez odkreślenie lupki i czekać aż się pojawią wyniki w oknie, co oznacza nie wyłączanie systemu. W tym czasie nie grzebać w rejestrze i nie wyszukiwać podanych nazw ręcznie, bo stworzysz "fałszywe" wyniki, tzn. Process Monitor nagra Ciebie w oknie.

Jeśli coś się pojawi, dostarcz log (File > Save).

[tada44]

Wykonałem nic się nie pokazało - wyskoczył komunikat że brakło miejsca na dysku, albo pamięci.

To chyba na tyle - muszę z tym się pogodzić i może przy jakimś przywracaniu systemu to zniknie. To wyłączone dziedziczenie mogę chyba zostawić dla tych

plików? To w niczym nie będzie przeszkadzać.

Dzięki!!!