Ładowanie niechcianych stron w Firefox'ie

[Olmer]

Witam, otrzymałem "do przejrzenia" laptop na którym są problemy z FF. Coś co chwile przekierowywało na różne strony, nie dało się ustawić strony startowej itd. Aktualnie użytkownik odinstalował przeglądarkę, a ja na nowo jej nie instalowałem. Na Chromie (zapasowa przeglądarka) był problem z nie chcianym barem i też zmieniającą się ciągle stroną startowa, ale poradziłem sobie z tym (przynajmniej mam nadzieje). Logi dodaje jako załączniki.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Problem adware nie został tu rozwiązany, widoczna aktywna usługa MaintainerSvc2.14.9041534 + sterownik webTinst, oraz polityki Google. Dodatkowo, w Google Chrome cała kolekcja rozszerzeń wątpliwej reputacji związanych z pobieraniem video - one wszystkie są replikami od tego samego producenta. Dla porównania co na temat odpowiedników Firefox jest napisane: KLIK. W Operze także siedzi jakiś pobieracz "Video Downloader 2015", teoretycznie oficjalnie hostowany na Opera Add-ons, ale nie jestem przekonana czy to na pewno rozszerzenie w 100% wolne od niepożądanych wtrętów - na razie je pomijam. A deinstalacja Firefox nie usuwa w ogóle profilu ani rozszerzeń i wtyczek na poziomie rejestru, więc to także będę likwidować.

 

 

Operacje do przeprowadzenia:

 

1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Java 8 Update 31.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 MaintainerSvc2.14.9041534; C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb\maintainer.exe [128240 2015-10-22] ()
R2 webTinst; C:\windows\system32\Drivers\webTinst.sys [50264 2015-02-10] ()
U3 BcmSqlStartupSvc; Brak ImagePath
U2 CLKMSVC10_3A60B698; Brak ImagePath
U2 CLKMSVC10_C3B3B687; Brak ImagePath
U2 DriverService; Brak ImagePath
U2 iATAgentService; Brak ImagePath
U2 idealife Update Service; Brak ImagePath
U3 IGRS; Brak ImagePath
U2 IviRegMgr; Brak ImagePath
U2 nvUpdatusService; Brak ImagePath
U2 Oasis2Service; Brak ImagePath
U2 PCCarerService; Brak ImagePath
S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X]
U2 ReadyComm.DirectRouter; Brak ImagePath
U2 RichVideo; Brak ImagePath
U2 RtLedService; Brak ImagePath
U2 SeaPort; Brak ImagePath
U2 SoftwareService; Brak ImagePath
U3 SQLWriter; Brak ImagePath
U2 Stereo Service; Brak ImagePath
Task: {1C8A05F0-2AEE-4F49-BED6-5D748940EDAF} - System32\Tasks\{58655CE6-A2F4-4EDB-8CA5-BA55620DD1CB} => pcalua.exe -a C:\Users\ala\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt 
Task: {48199BC2-F21F-436C-9BD4-F7F03E5AD76B} - System32\Tasks\{AD8B22F9-5C24-41D9-982D-448A0C2D6626} => pcalua.exe -a C:\Users\ala\Desktop\Faraon\Setup.exe -d C:\Users\ala\Desktop\Faraon
Task: {8AF0E04A-E2C2-4AB3-B0D8-F9B54F647713} - System32\Tasks\{7957830F-4671-4B8F-B677-529A35F136FE} => C:\Users\ala\Desktop\Faraon\autorun.exe
HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037"
CHR Session Restore: Default -> [funkcja włączona]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk
C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload
C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload.aamd
C:\Users\ala\AppData\Local\Mozilla
C:\Users\ala\AppData\Roaming\Mozilla
C:\Users\ala\Desktop\ALA\PITY\PITY 2011\e-Deklaracje.lnk
C:\Users\ala\Desktop\ALA\PITY\PITY 2011\Pity Format 2010.lnk
C:\Users\ala\Desktop\ALA\PITY\Pity 2009\PIT-OPP 2009.lnk
C:\Users\ala\Desktop\ADAM\Manowar\RPG\RPG\Badlands\Skrót do Badlands.lnk
C:\Users\ala\Desktop\Śmieci\DAEMON Tools Lite.lnk
C:\Users\ala\Desktop\Śmieci\Mozilla Firefox.lnk
C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót (2).lnk
C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót.lnk
C:\windows\system32\Drivers\webTinst.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj tę "kolekcję": Flash Video Downloader, HD Video Downloader professional, Video Downloader professional.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (o ile coś tam będzie).

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\ala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[Olmer]

Ustawienia > karta Rozszerzenia > odinstaluj tę "kolekcję": Flash Video Downloader, HD Video Downloader professional, Video Downloader professional

 

Na liście były tylko dwa, usunąłem je, dodaje załączniki.

Fixlog.txt

FRST.txt

[picasso]

1. W Google Chrome nadal widać te trzy wpisy:

 

Chrome:

=======

CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153

CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037"

CHR Extension: (HD Video Downloader professional) - C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default\Extensions\nannbkggjapgmpangjafgjkkkccmfkdg [2015-11-03]

 

Wyeksportuj zakładki do pliku. Następnie Ustawienia > Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a poprzedni całkowicie usuń (po zamknięciu okna Chrome z nim załadowanego). Po akcji upewnij się, że zniknął z dysku folder C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Olmer]

Folder  C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default nadal istniał, usunąłem go więc, załączam log.

AdwCleanerS8.txt

[picasso]

1. W AdwCleaner ponownie opcja Skanuj, a następnie Usuń. Gdy ukończy czyszczenie, kroki końcowe:

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.