Reklamy w Chrome

[goodman]

Witam serdecznie.

Po kliknięciu w link np. z googla lub w przyciski, linki na danej otwartej aktualnie stronie, otwierają się w nowych zakładkach strony z reklamami gier, rzekomymi naprawami Windowsa itp. To samo po kliknięciu prawym przyciskiem myszy. Poza tym po najechaniu myszką w pasek przewijania także w przeglądarce, zaczyna zamiast przesuwać się po naciśnięciu i przytrzymaniu klawisza myszy, to po samym najechaniu.

To samo dzieje się na komputerze u mnie w pracy i u rodziców.

Tam też używam Chroma i się to wszystko zaczęło w tym samym momencie.

Mam synchronizację włączoną więc może to jakiś dodatek, ale nie mam pojęcia.

Robi się to coraz bardziej uciążliwe. Nie dokonywałem na razie żadnych napraw na własną rękę.

Dołączam załączniki z tego laptopa i proszę o pomoc.

System Windows 7 Pro 32bit SP1, Chrome wersja 53.0.2785.116 m

 

Shortcut.txt GMER.txt Addition.txt FRST.txt

[picasso]

Cytat

Po kliknięciu w link np. z googla lub w przyciski, linki na danej otwartej aktualnie stronie, otwierają się w nowych zakładkach strony z reklamami gier, rzekomymi naprawami Windowsa itp. To samo po kliknięciu prawym przyciskiem myszy. Poza tym po najechaniu myszką w pasek przewijania także w przeglądarce, zaczyna zamiast przesuwać się po naciśnięciu i przytrzymaniu klawisza myszy, to po samym najechaniu.

To samo dzieje się na komputerze u mnie w pracy i u rodziców.

Tam też używam Chroma i się to wszystko zaczęło w tym samym momencie.

Mam synchronizację włączoną więc może to jakiś dodatek, ale nie mam pojęcia.

 

Zakreślony fragment wskazuje, że chodzi tu właśnie o dane na serwerze Google zapisane przez synchronizację i ładowane lokalnie na każdy komputer na którym zostanie zalogowane konto Google. W podanych raportach FRST właściwie nic nie widać, tylko jakieś drobne szczątki po adware. Ale logi z FRST zostały zrobione z poziomu wbudowanego Administratora a nie zasadniczego konta krystian, pomimo że niby plik FRST był uruchamiany z Pulpitu krystiana:

 

Uruchomiony przez Administrator (administrator) HP (04-10-2016 17:46:32)
Uruchomiony z C:\Users\krystian.hp\Desktop

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-3185890650-2609249503-3607620972-500 - Administrator - Enabled) => C:\Users\Administrator
Gość (S-1-5-21-3185890650-2609249503-3607620972-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3185890650-2609249503-3607620972-1002 - Limited - Enabled)
krystian (S-1-5-21-3185890650-2609249503-3607620972-1003 - Limited - Enabled) => C:\Users\krystian.hp

 

Kontekst konta całkowicie zmienia to co widać od przeglądarki w logu - na danym konciejest pokazany tylko profil przeglądarki z tego konta.

 

Zresetuj system, zaloguj się na konto krystian i dostarcz nowe logi z FRST.

 

[goodman]

Mialas racje picasso to chodzilo o te dane na serwerze google. Zrobilem reset narzedziem googlowskim i pomoglo. Takze temat do zamkniecia. Dziekuje!

[picasso]

Ale nadal aktualne pokazanie logów z właściwego konta krystian. System nie został sprawdzony.

[goodman]

A no fakt z uprawnieniami konta "krystian" tego nie uruchamiałem.. kurcze to ja cały czas uruchamiając instalki myślałem, że potrzebują uprawnienia Administratora. Ok podaję logi.
 

Addition.txt FRST.txt Shortcut.txt

[picasso]

By sprawdzić wpisy występujące tylko na jednym koncie oraz profile przeglądarek tego konta, jest konieczne zrobienie raportów będąc zalogowanym na tym koncie i w kontekście tego konta - na koncie limitowanym start FRST opcją "Uruchom jako administrator" powoduje zmianę kontekstu konta i skan Administratora a nie konta limitowanego. Jawnych infekcji na obu kontach nie widać, ale będą poboczne operacje, w tym usuwanie szczątków po adware i odinstalowanych aplikacjach. Następujące operacje do wykonania z poziomu każdego konta z osobna:

 

 

NA KONCIE ADMINISTRATOR:

 

1. Odinstaluj stare wersje i zbędne aplikacje: Apple Software Update, Java SE Development Kit 8 Update 91, MyFreeCodec, Obsługa programów Apple, QuickTime 7, YTD Video Downloader 4.8.7. Ten ostatni jest związany z adware w instalatorach.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S0 MPCBase; System32\drivers\MPCBase.sys [X] <==== UWAGA
S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] <==== UWAGA
HKLM\...\Run: [tguard] => C:\Program Files\Beniamin\tguard.exe
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2131344 2016-06-20] (Wondershare)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140817
HKU\S-1-5-21-3185890650-2609249503-3607620972-500\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140817
CustomCLSID: HKU\S-1-5-21-3185890650-2609249503-3607620972-500_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\ADMINI~1\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe (dane wartości zawierają 13 znaków więcej).
CHR HomePage: Default -> search.mpc.am
CHR StartupUrls: Default -> "search.mpc.am"
Task: {362434DA-2AE8-40FD-AB82-FAEC2E085199} - System32\Tasks\{D7C8E420-532A-42FD-B7B9-437C729C8BFC} => pcalua.exe -a C:\Users\krystian.hp\Desktop\setup(1).exe -d C:\Users\krystian.hp\Desktop
Task: {51B3EE7B-AAAB-4102-9DBC-AFD495C6C0DA} - System32\Tasks\{45AD186B-C446-450E-9579-2007611B230C} => F:\Games\World_of_Warplanes\WoWpLauncher.exe
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Program Files\Common Files\Wondershare
C:\Program Files\GUT101D.tmp
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoStage Slideshow Producer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs
C:\Users\Administrator\AppData\Local\5D515C96_stp.CIS
C:\Users\Administrator\AppData\Local\5D515C96_stp.CIS.part
C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{E709804A-F714-4C1D-8EB7-48DDC8252F43}
C:\Users\Administrator\AppData\Local\Mozilla\Firefox
C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox
C:\Users\Administrator\Desktop\kav — skrót.lnk
C:\Users\Administrator\Favorites\NCH Software Download Site.lnk
C:\Users\krystian.hp\AppData\Local\{A85E4B59-8419-4CC0-87D2-3B5488CD6A2A}
C:\Users\krystian.hp\AppData\Local\CEF
C:\Users\krystian.hp\AppData\Local\Microsoft\Windows\GameExplorer\{0A724F25-CD69-472B-9BEF-4518D2419748}
C:\Users\krystian.hp\AppData\Local\Mozilla\Firefox
C:\Users\krystian.hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Oracle VM VirtualBox.lnk
C:\Users\krystian.hp\AppData\Roaming\Mozilla\Firefox
CMD: netsh advfirewall reset
CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol
CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol
Folder: C:\Windows\system32\GroupPolicy\Machine\Scripts
Folder: C:\Windows\system32\GroupPolicy\User\Scripts
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

 

 

NA KONCIE KRYSTIAN:

 

Tu tylko drobnostki. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3185890650-2609249503-3607620972-1003\...\Run: [PC Suite Tray] => "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
HKU\S-1-5-21-3185890650-2609249503-3607620972-1003\...\Run: [CMax] => [X]

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tu nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

 

[goodman]

Z Administratora:

Fixlog.txt FRST.txt Addition.txt

 

Z "krystian":

Fixlog.txt

[picasso]

Czy ten pierwszy Fixlog z Administratora to był oryginalny plik utworzony przez FRST na dysku i jego zawartość nie była zapisywana ponownie ręcznie przez Ciebie? Plik ma złe kodowanie (ANSI) i uszkodzone polskie fonty...

 

1. Będąc na Administratorze przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższe foldery:

 

C:\FRST

C:\Program Files\MyFree Codec

C:\Users\Administrator\AppData\Local\WSHelper

 

... oraz po kolei z Pulpitów obu kont narzędzia logów i ich logi.

 

2. Również z poziomu Administratora wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.

[goodman]

Fixloga wyciąłem lub skopiowałem z pulpitu Administratora na pulpit krystian i potem stamtąd dodałem w poście. Domyślnie mam ustawiony zapis kodowania na ANSI w notatniku. 

 

Foldery skasowane. Dziękuję picasso za poświęcony czas. Jak będę kiedyś w Amsterdamie stawiam dobrą kolację

[picasso]

Cytat

Fixloga wyciąłem lub skopiowałem z pulpitu Administratora na pulpit krystian i potem stamtąd dodałem w poście. Domyślnie mam ustawiony zapis kodowania na ANSI w notatniku.

 

Notatnik zawsze jest ustawiony na domyślny zapis w ANSI, co nie ma znaczenia dla tego jak logi produkuje FRST. FRST tworzy pliki na dysku w kodowaniu UTF-8 i taki format kodowania powinien być zachowany, niezależnie czy sobie kopiujesz pliki między folderami. Ja pytam czy plik otwierałeś ręcznie, przeklejałeś treść i ponownie zapisywałeś do nowego pliku (wtedy domyślne ANSI Notatnika owszem ma znaczenie). A pytam stąd, że już po raz trzeci widzę tu na forum jeden z logów FRST wytworzony ze złym kodowaniem i jeśli logi nie były manipulowane ręcznie, jest jakiś problem z FRST.

[goodman]

A rozumiem ale nie otwierałem ręcznie. Oryginalny plik stworzony przez FRST wyciąłem i wkleiłem na pulpit konta krystian.