Skocz do zawartości

Wyskakujące reklamy i otwierające się strony


Rekomendowane odpowiedzi

Dostałem dzisiaj drugiego laptopa od znajomych, którym ostatnio pomagałem z niechcianym softem. Na tym komputerze podobnie wyskakują reklamy oraz otwierają się nowe strony. Po pewnym czasie przeglądarka traci połączenie z netem – nie można wyświetlać żadnych stron. W takim przypadku pomaga tylko restart.

 

Prośba o sprawdzenie załączonych logów.

Z góry dziękuję :)

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niewątpliwie jest dużo obiektów adware, w tym starocie. Był tu uruchamiany AdwCleaner, nie wiadomo jaka to wersja i co w nim robiłeś. Wykonaj poniższe działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [325408 2014-09-18] ()
R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [325408 2014-09-18] ()
R1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [61112 2014-04-24] (StdLib)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\...\Run: [Google Update] => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-07-15] (Google Inc.)
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe
ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=010812_hplgoff_3112_1&babsrc=HP_ss&mntrId=1609917600000000000072de2ba42fed
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275
SearchScopes: HKCU - Backup.Old.DefaultScope {4B522D67-F3FD-4546-91B4-48FCC5F93147}
SearchScopes: HKCU - 476B7487775F4F2FB1983A70803165B8 URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010812_hplgoff_3112_1&babsrc=SP_ss&mntrId=1609917600000000000072de2ba42fed
SearchScopes: HKCU - {4B522D67-F3FD-4546-91B4-48FCC5F93147} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05]
CHR HKLM-x32\...\Chrome\Extension: [pbpjplgmaeigbnpadeajipebdlihpcfn] - C:\Program Files (x86)\BatBrowse\pbpjplgmaeigbnpadeajipebdlihpcfn.crx [2014-09-18]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
GroupPolicy: Group Policy on Chrome detected 
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {091FFF21-6207-40EE-B579-8CF4C84410B8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.)
Task: {3C023AD7-0B35-4C72-B67B-68D1814BE44C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core => C:\Users\Domuś\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-31] (Google Inc.)
Task: {6E0C3783-F990-45B2-8B38-9703C707F991} - System32\Tasks\Norton Security Scan for Domuś => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation)
Task: {A6010B07-B249-48FF-8F5B-04D63F53BE08} - System32\Tasks\{6BA38A07-960D-471F-B4B4-8580AA56D87C} => Iexplore.exe http://www.skype.com/go/downloading?source=installer&ver=6.1.0.129.272&LastError=-9
Task: {A8472EBA-D425-448C-B0FE-C31EBAE4D402} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.)
Task: {A8B9FFA2-7289-4C61-8DF5-CA82575C0E04} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe 
Task: {D9AD3F10-75E6-4C6B-9D05-3666EE8E84B7} - System32\Tasks\Norton Security Scan for admin => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation)
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003UA.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Norton Security Scan for admin.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
Task: C:\Windows\Tasks\Norton Security Scan for Domuś.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
C:\Program Files (x86)\mozilla firefox
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Security Scan
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\ProgramData\Temp
C:\Users\admin\AppData\Local\{*}
C:\Users\admin\AppData\Roaming\Babylon
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppSafe
C:\Users\admin\Desktop\AppSafe.lnk
C:\Users\admin\Downloads\yet_another_cleaner_gam.exe
C:\Users\Ania\AppData\Local\Pay-By-Ads
C:\Users\Ania\Desktop\Programy\Norton Security Scan.LNK
C:\Users\Domuś\AppData\Roaming\DealPly
C:\Users\Domuś\Desktop\Co to tu robi wgl\FlvPlayer.lnk
C:\Users\Domuś\Desktop\Co to tu robi wgl\Norton Security Scan.LNK
C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys
Reg: reg delete "HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions
Folder: C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences"
CMD: type "C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Preferences"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware i zbędne aplikacje:

 

Adobe Flash Player Packages, AppCloudUpdater, AppSafe, BatBrowse 1.0.0, FlvPlayer, Norton Security Scan (prawdopodobnie instalacja sponsorowana), MyFreeCodec Samsunga

 

3. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj BatBrowse, Funmoods, Funmoods Chat
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Wygląda na to, iż w systemie są trzy konta: admin (z tego dostarczone logi), Ania i Domuś. Zaloguj się na każde po kolei i zrób na każdym nowe logi FRST z opcji Scan (pole Addition zaznaczone). Dołącz też plik fixlog.txt. I objaśnij co się działo z AdwCleaner + dostarcz logi z folderu C:\AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Ad 1. Wykonane - log w załączeniu.

 

Ad 2. Wykonane

 

Ad 3. Wykonane częściowo. W Ustawienia > karta Rozszerzenia nie znajduję BatBrowse, Funmoods, Funmoods Chat. Czy możliwe, że zostały usunięte przy odinstalowywaniu programów z pkt. 2?

 

Ad 4. Logi z dwóch pozostałych kont w załączeniu.

Jeśli chodzi o AdwCleaner to w poprzednim wątku napisałaś mi, że nie należy go uruchamiać na w pełni zainstalowanych programach adware. Tak więc tym razem go nie uruchamiałem. Faktem jest, że katalog AdwCleaner istnieje na dysku C. Niestety nie potrafię powiedzieć kto i kiedy go uruchamiał. W katalogu nie ma żadnych plików. Jest tylko katalog Quarantine.

Fixlog.txtPobieranie informacji ...

Ania_Addition.txtPobieranie informacji ...

Ania_FRST.txtPobieranie informacji ...

Domuś_Addition.txtPobieranie informacji ...

Domuś_FRST.txtPobieranie informacji ...

Odnośnik do komentarza

Z dodatkowych logów tylko pliki Adddition miały być dostarczone, gdyż tam może być notowana różnica między kontami. Shortcut usuwam, jest wspólny i pokazuje to samo niezależnie od zalogowanego konta. Wszystkie logi główne FRST są identyczne i wcale nie są zrobione z poziomu kontekstu kont Adnia i Domuś tylko z poziomu konta admin:

 

Ran by admin (administrator) on ADMIN-KOMPUTER on 20-09-2014 09:30:17

 

Jeśli te dwa konta nie mają uprawnień administracyjnych, prawdopodobnie przy starcie FRST użyłeś opcję "Uruchom jako Administrator", co zmieniło kontekst konta. Proszę zaloguj się po kolei na Ania i Domuś, uruchom FRST normalnie przez dwuklik i nie stosuj opcji "Uruchom jako Administrator".

 

 

 

 

.

Odnośnik do komentarza

Akcja po kolei na zalogowanych kontach:

 

 

DOMUŚ

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
URLSearchHook: HKCU - (No Name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No File
SearchScopes: HKCU - DefaultScope {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286
SearchScopes: HKCU - {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com", "hxxp://www.msn.com/?pc=AV01"
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt.

 

2. Otwórz Google Chrome Domusia i w nim:

  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

ANIA

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1826986473-2377712830-1707152965-1010\...\Run: [Yahoo! Search] => C:\Users\Ania\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na

Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

 

 

ADMIN

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:

ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File

ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File

ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File

DeleteQuarantine:

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt.

 

 

 

 

 

.

Odnośnik do komentarza

1. Drobne poprawki z poziomu konta admin. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\Software\Policies\Google
DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}
DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}
RemoveDirectory: C:\Program Files (x86)\MyFree Codec
RemoveDirectory: C:\ProgramData\Norton

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt.

 

2. Jeszcze mam pytanie: to na pewno wszystkie konta obecne w systemie? Jakoś ominęłam wzrokiem, że na dysku jest także folder C:\Users\Edyta. To konto istnieje czy może folder to odpadek?

 

 

.

Odnośnik do komentarza

1. Jest problem ze skasowaniem trzech wpisów z konta Domuś, z poziomu tego konta wpisy zwracają błąd podobny do braku uprawnień, a z kolei na adminie są one niewidoczne. Sprawdź czy dasz radę zrobić coś takiego na Domusiu:

 

Start > w polu szukania wklep regedit > wyszukaj klucz:

 

HKEY_CURRENT_USER\Software\Policies\Google

 

Czy jest możliwe usunięcie tego klucza "Google" z prawokliku? Jeśli nie, prawoklik na klucz > Uprawnienia > pokaż listę kont.

 

2. Następnie, z każdego konta po kolei zrób logi AdwCleaner z opcji Szukaj i je dostarcz.

 

 

 

  Cytat

Sprawdziłem, istnieje katalog C:\Users\Edyta ale jest pusty. W Panel sterowania > Konta użytkowników > Zarządzanie kontami nie ma konta Edyta.

Folder możesz przez SHIFT+DEL (omija Kosz) skasować.

 

 

 

.

Odnośnik do komentarza

Przy próbie ręcznego usunięcia klucza przez regedit otrzymywałem komunikat Nie można usunąć Google: błąd przy usuwaniu klucza. Zmieniłem więc "na chwilę" typ konta Domuś na administrator i ponownie uruchomiłem FRST z trzema kluczami do usunięcia. Wygląda na to, że klucze zostały usunięte -> log w załączeniu.

 

Logi z AdwCleaner również w załączeniu. AdwCleaner przy dwu-kliku zażądał uruchomienia przez konto Administratora.

 

Fixlog.txtPobieranie informacji ...

Admin_AdwCleanerR0.txtPobieranie informacji ...

Ania_AdwCleanerR1.txtPobieranie informacji ...

Domuś_AdwCleanerR2.txtPobieranie informacji ...

Odnośnik do komentarza

OK, tamte klucze z głowy. Jeśli chodzi o te trzy logi z AdwCleaner, to obawiam się że "uruchomienie jako Administrator" zmieniło kontekst konta i klucze HKCU są wykryte tylko na jednym koncie, czyli admin. Uruchom z poziomu admina AdwCleaner, zastosuj Szukaj + Usuń. Następnie sprawdź czy na pozostałych kontach AdwCleaner coś wykrywa.

 

 

 

.

Odnośnik do komentarza

Jeśli chodzi o konto admin to zrobiłem jak napisałaś.

Typy dwóch pozostałych kont zmieniłem ich typ na administratora i odpaliłem na nich AdwCleaner. Dla użytkownika Ania znalazł 3 klucze, natomiast dla użytkownika Domuś znalazł trochę więcej rzeczy.

Ania_AdwCleanerR4.txtPobieranie informacji ...

Domuś_AdwCleanerR5.txtPobieranie informacji ...

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...