Skocz do zawartości

Otwieranie niechcianych stron


Rekomendowane odpowiedzi

  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Stosowałeś wiele programów czyszczących (AdwCleaner, JRT, ComboFix), z żadnego nie ma raportów co było usuwane. Obecnie widzę tu tylko rozszerzenie adware CinemaP-1.9cV18.09 w przeglądarce Google Chrome. Do przeprowadzenia następujące operacje:

 

1. Przez Panel sterowania odinstaluj starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Java 8 Update 51, Adobe Reader XI (11.0.12).

 

2. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV18.09
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> URL hxxp://www.trovigo.com/Results.aspx?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP75585FC2-946A-47A5-9406-9539259CBA05&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
Task: {06222C97-6E66-4EEF-B923-7532FC9AF232} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: {12787241-90B8-4CB1-9B8C-8BD30CC06552} - System32\Tasks\{ED5008F4-A0F3-492A-8BC2-36443B1B6EEC} => pcalua.exe -a C:\Users\Gur1\Desktop\TL-WN422G_v2_100611\Setup.exe -d C:\Users\Gur1\Desktop\TL-WN422G_v2_100611
Task: {A633CE49-F393-439C-80CE-7407FEC241B2} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
C:\Users\Gur1\AppData\Local\Mozilla
C:\Users\Gur1\AppData\Local\Opera Software
C:\Users\Gur1\AppData\Roaming\BitComet
C:\Users\Gur1\AppData\Roaming\Mozilla
C:\Users\Gur1\AppData\Roaming\Opera Software
C:\Users\Gur1\AppData\Roaming\QUJreDgXLf
C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi304666634142286040\a%20di%20alessi.csv.lnk
C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi%20(1)304671013666581531\a%20di%20alessi%20(1).csv.lnk
C:\Users\Gur1\Desktop\Wyczyść rejestr za darmo!.lnk
C:\Users\Gur1\Downloads\Niepotwierdzony*.crdownload
C:\Users\Gur1\Links\GG dysk.lnk
C:\Users\Gur1\Favorites\GG dysk.lnk
C:\Windows\AutoKMS
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Gur1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje problem reklam.

Odnośnik do komentarza
  • 2 tygodnie później...

@picasso co wskazuje że należy usuwać te wpisy.

 

Reg: reg delete HKCU\Software\Mozilla /f

Reg: reg delete HKCU\Software\MozillaPlugins /f

Reg: reg delete HKLM\SOFTWARE\Mozilla /f

Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Odnośnik do komentarza

Klucze Mozilla (oraz foldery Mozilla) - usuwanie odpadków po odinstalowanym Firefox. Firefox był kiedyś, bo FRST wykrył profil na dysku. Obecnie nie jest w ogóle zainstalowany (co widać w Addition + Shortcut). Przy czym należy zaznaczyć, że klucze MozillaPlugins powstają niezależnie od tego czy Firefox w ogóle był zainstalowany, programy zewnętrzne tworzą te klucze "na zapas", by Firefox instalowany w późniejszym czasie znalazł wtyczki. Czasem omijam usuwanie tych kluczy, jeśli są najnowsze wersje wtyczek "przygotowane".

 

Klucze Main + SearchScopes - popatrz na SID kont z których usuwam (S-1-5-18, S-1-5-19, S-1-5-20). To specjalne konta wbudowane w system, na których nie powinno być ustawień tego typu. Tu usuwam, bo był uruchomiony ComboFix, którego resety nie są do końca "domyślne" i dorobił zbędne ustawienia conajmniej w Main.

 

Obie akcje kosmetyczne.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...