Chrome otwiera się samoistnie przy starcie systemu.

[gro567]

Witam.

 

Mammały problem.

Zainstalowała mi się "kometa" na komputerze przez co chrome, mozilla i IE otwierają się przy starcie systemu.

Problem podobny jak tutaj: https://www.fixitpc.pl/topic/32006-strony-same-si%C4%99-otwieraj%C4%85-reklamy-spam/

Załączam wszystkie logi

Nie mogę dodać GMER.

Piszę mi że nie mam uprawnień.

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 29 Stycznia 2017 przez Rucek

[Miszel03]

Nie mogę dodać GMER.

Piszę mi że nie mam uprawnień.

Prawym na pulpit - utwórz plik tekstowy - nazwij GMER.txt - otwórz log z gmera, CTRL + A, wklej zawartość do nowego pliku GMER.txt  CTRL + V - dołącz.

 

---

 

W systemie kolosalny bałagan spowodowany przez adware / PUP. Na szczęście da się to wszystko łatwo wyleczyć. 

 

Do poczytania: KLIK.

 

1. Przez panel sterowania odinstaluj:

• Zbędniki / sponsorzy instalacyjni: McAfee Security Scan Plus.
• Programy Adware / PUP: Setup, Rest Web.

Wejdź do wymienionych folderów C:\Program Files (x86)\Tencent, C:\Program Files (x86)\CinemaPlus-3.2cV24.06, C:\Program Files (x86)\Mail.ru i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 

 

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
Task: {0B5B5DC6-81C2-4A63-A815-29DB9CD2F15F} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-10.exe 
Task: {0DAEA186-B6AF-4923-BDB6-A8D4B9F55817} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-7 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-7.exe 
Task: {214CC1B3-F248-4BA8-91D1-5CBB95B047AC} - System32\Tasks\FileSystemDriver => C:\Users\pc\AppData\Local\FileSystemDriver\FileSystemDriver.exe [2017-01-28] () 
Task: {22C6E374-0574-414E-9EE2-818BAA62C6A0} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-24] (globalUpdate) 
Task: {58ECD2D6-31B1-4CD8-869E-2A0C4B0F5D71} - System32\Tasks\fupdate => C:\Users\pc\AppData\Local\fupdate\fupdate.exe [2017-01-28] () 
Task: {759347D2-14A2-451E-9E1E-43D3C801B9B1} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-24] (globalUpdate) 
Task: {9FAADC18-A9E3-4BC0-858A-4B8987BAAE24} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.exe 
Task: {A6ABE107-D394-4AE3-8B3A-FC036E5AF471} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-3 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-3.exe 
Task: {B846C24E-E570-406C-9F79-B481C880FA61} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe 
Task: {BCE32E8C-348E-4863-84C0-4DEA20CBC4F9} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.exe 
Task: {D3796662-E367-4B4F-9ADF-F96CCB79882B} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-01-10] (Adobe Systems Incorporated)
Task: {F769182B-F1D0-411C-9F92-2747A8D0D0EF} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-4 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-4.exe 
Task: {F801F8CB-8D39-4078-AE67-920A07899A16} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe 
Task: {FCFF1B54-886F-4887-A6D5-0D8BD1C7034E} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-6 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-6.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-10.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-3.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-3.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-4.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-6.exe 
Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-7.exe 
C:\Program Files (x86)\CinemaPlus-3.2cV24.06
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
ShortcutWithArgument: C:\Users\pc\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://acrora.ru/?utm_source=startlink03&utm_content=8d3a539e10c1a20ac78416c7005b6bb5&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128"
ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx14
ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://acrora.ru/?utm_source=startlink03&utm_content=8d3a539e10c1a20ac78416c7005b6bb5&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx8
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx14
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [mbot_pl_014010011] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010011] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010012] => [X]
HKU\S-1-5-21-787758283-2403446144-2480423893-1000\...\Run: [bzbgbyyzya] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128" 
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} =>  -> Brak pliku
GroupPolicy: Ograniczenia - Chrome 
GroupPolicy\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
KLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91413235_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms}
HKU\S-1-5-21-787758283-2403446144-2480423893-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
SearchScopes: HKLM -> OldSearch URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms}
SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014
SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg
SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014
BHO: Brak nazwy -> {72a94386-d7dd-4032-86b6-e013e104f0ab} -> Brak pliku
BHO-x32: Brak nazwy -> {72a94386-d7dd-4032-86b6-e013e104f0ab} -> Brak pliku
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\pc\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-01-28] (Mail.Ru)
BHO-x32: Express Find -> {d39539bb-f65e-4088-a9d1-6e5f01a42a3e} -> C:\Program Files (x86)\Express Find\Extensions\d39539bb-f65e-4088-a9d1-6e5f01a42a3e.dll => Brak pliku
BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku
Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  Brak pliku
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxps://www.google.pl/?gfe_rd=cr&ei=I0VUVamBJMyv8wfQjIC4BQ&gws_rd=ssl"
OPR Extension: (GoHD) - C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions\fijhlnmmmgflacagjecncpmpnhjieggk [2015-06-24]
OPR Extension: (CinemaPlus-3.2cV24.06) - C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-06-24]
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-24] (globalUpdate) [brak podpisu cyfrowego] 
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-24] (globalUpdate) [brak podpisu cyfrowego] 
C:\Program Files (x86)\globalUpdate
S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X]
S2 mihehene; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\knsh5C2C.tmpfs [X]
S2 xoperoze; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\jnsx7628.tmp [X]
S2 zedepory; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\hnsh8CA6.tmp [X]
S1 cherimoya; system32\drivers\cherimoya.sys [X] 
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16790.224\QMUdisk64.sys [X]
S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16790.224\TS888x64.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk
C:\Users\pc\Desktop\gry\Wiedźmin 2 Edycja Rozszerzona.lnk
C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Edytor baz dla programu Jolka.lnk
C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Jolka II.lnk
C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Odinstaluj Jolkę II..lnk
C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\League of Legends.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj. 

 

4. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.