Skocz do zawartości

Chrome, całkowity reset moich ustawień, włączające się samoczynnie strony


Rekomendowane odpowiedzi

Witam serdecznie.

Cieszę się, że trafiłem na to forum postaram się wszystko dokładnie opisać. Serdecznie dziękuję za pomoc.

 

Od razu powiem, że nie jestem "święty" mam pewnie sporo śmieci niepotrzebnych w systemie oraz zdarzyło mi się w przeszłości wejść na strony wątpliwej jakości ale nigdy ze skutkiem jaki mam obecnie. 

Również kilkukrotnie zdarzyło mi się pobrać potrzebne mi narzędzie z polskich serwisów z gratisami. 

 

Najpoważniejszy problem to całkowity reset moich ustawień w google chrome. Nie mam moich zapisanych haseł, rozszerzeń, ustawień zaawansowanych, dawnej historii wyszukiwań, zakładek. Nic totalnie pusty chrome- jakbym miał nakładkę na mojego normalnego chroma. Po odpaleniu przeglądarki z paska zadań pojawia się druga ikona chroma obok, jakbym miał dwa programy otwarte na raz. 

Jak nie odpalę przeglądarki, to odpala się ona sama na:

pierwsza strona jakaś niby gazeta: hxxp://internetgazeta.cardvrmirrorr.ru/index.html?p=other-sliv

kolejna: hxxp://trapflayb-bs.ru/?token=fuuk9

oraz ta: hxxp://chain-reaction-pro.co/ref/cr06

Póki co zaobserwowałem te 3 strony z samo odpaleń. 

Przez przyjściem na forum użyłem AdwCleanera log z czyszczenia dołączam oraz Malwarebytes lecz tutaj popełniłem błąd i po przedstawieniu przez program informacji, że obiekty przeszły do kwarantanny usunąłem je w programie i log jest pusty- a usuniętych zostało 68 obiektów.

 

Obawiam się, że teraz to coś poważnego i mam pytanie czy odzyskam starego chroma, czy już po zawodach? Obawiam się również logowania na obecnym moim chromie do kont bankowych i maili.

Addition_01-06-2016_07-16-52.txt

FRST_01-06-2016_07-16-52.txt

Shortcut.txt

AdwCleanerC1.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na przyszłość: nazwy raportów FRST (główny + Addition) wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiasz FRST, czyli tu katalog Pobrane.

 

 

Jak nie odpalę przeglądarki, to odpala się ona sama na

W starcie jest szkodliwy wpis "Draughts". Poza tym widać inne odpadki z tego miotu adware, ale nie wyglądają na czynne.

 

 

Najpoważniejszy problem to całkowity reset moich ustawień w google chrome. Nie mam moich zapisanych haseł, rozszerzeń, ustawień zaawansowanych, dawnej historii wyszukiwań, zakładek. Nic totalnie pusty chrome- jakbym miał nakładkę na mojego normalnego chroma. Po odpaleniu przeglądarki z paska zadań pojawia się druga ikona chroma obok, jakbym miał dwa programy otwarte na raz.

Objawy sugerują uruchamianie innego profilu. Sytuacja w logu wygląda następująco:

 

Chrome:

=======

CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default

CHR Extension: (Przelewy24) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2015-10-03]

CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-04]

CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21]

CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-01]

CHR Extension: (Adblock Plus) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09]

CHR Extension: (Google Search) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04]

CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-01-15]

CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24]

CHR Extension: (Transferuj.pl) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gamjcgdmfcciglelnlngnknalhbhmkif [2015-09-07]

CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-18]

CHR Extension: (AdBlock) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-05-31]

CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml]

CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13]

CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-28]

CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1

CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2

CHR Extension: (Prezentacje Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-31]

CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-31]

CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-31]

CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-31]

CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-05-31]

CHR Extension: (Arkusze Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-31]

CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-31]

CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-05-31]

CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-31]

CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx

 

Są trzy profile (w opcjach Chrome widać inne nazwy): stary Default, pusty Profile 1 (prawdopodobnie nieistniejący), Profile 2 (przypuszczalnie bieżący). Nie jest pewne czy widać tu wszystkie profile, gdyż wczoraj wykryłam, że FRST nie widzi wszystkich i będę to sprawdzać. W każdym razie danych będziemy szukać w profilu który nie jest bieżącym, a na razie nie jest pewne który z nich nim jest.

 

 

Wstępnie usuwanie widocznych śmieci (wliczając wpisy puste) oraz pobór dokładniejszych informacji o Chrome który profil jest bieżącym:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Shockwave Player 12.1 (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Checkers (wygląda na adware), Facebook Video Calling 2.0.0.447 (stara wersja), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Draughts] => C:\Users\Mateusz\AppData\Roaming\Checkers\Draughts\Draughts.exe [1719960 2016-05-30] (Draughts)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [332BigDog] => C:\Program Files (x86)\USB Camera2\VM332STI.EXE
HKLM\...\Run: [synLenovoGestureMgr] => "%ProgramFiles%\Synaptics\SynTP\SynLenovoGestureMgr.exe" /m
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
Task: {020C5683-6168-4A7E-8167-89FB6CADD175} - System32\Tasks\{009A842B-BFDA-4C8B-8E2D-D991C7196773} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_[www.pobieralnia.org].exe -d C:\Users\Mateusz\Downloads
Task: {0A2417FF-5623-48F7-8641-F03C196F3D4B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {0D1ED7BA-414D-458D-B414-74902A8BED1B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {19B147D3-C847-4C70-BAFC-C6F98FBC3729} - System32\Tasks\{DC2981FF-1787-4F1C-AAD1-8CEF35FECDFB} => pcalua.exe -a "C:\ProgramData\Download keepuer\LM5_OuoK.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {27B60221-2A0E-4555-B765-DE4B6278B342} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {2A162675-79EC-4BE6-AE81-87B2BA376BFC} - System32\Tasks\Ateredomkefisp Cache => C:\Program Files (x86)\Ateredomkefisp\AteredomkefispCchtask.exe 
Task: {317C5032-67EA-472B-916C-ED062B08D81C} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe
Task: {31915649-D4E1-405B-93FD-65CBFB00CE0E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4C6341A0-9672-4DC3-BA88-8957CC359CCE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {56B99869-37F2-43AE-B139-4EA673E0B3D3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {597E9041-E96C-4F38-AD12-FC9A35CD3A26} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {5E770B03-1937-4892-AD85-A5FB76945FF7} - System32\Tasks\{7D31756F-263E-4B5F-8BDD-4B9285691539} => pcalua.exe -a "C:\Users\Mateusz\Downloads\user_files (1).exe" -d C:\Users\Mateusz\Downloads
Task: {5FEE9EFB-86E7-4064-887A-DDE6E1278C8B} - \CCleanerSkipUAC -> Brak pliku 
Task: {808096E1-9F8F-456A-97FA-8D577767AEE7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002UA => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {9587C137-EFD3-498A-BC20-291578EB2A75} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002Core => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {AAA2AF8C-9EC2-4263-8E37-2E93D92C305A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {CEF0505E-6B8E-4148-980F-E58D8FF14326} - System32\Tasks\{CBD4585B-6D24-4B3C-985A-DC56320EF94E} => pcalua.exe -a C:\WINDOWS\lsb_un20.exe -c /C=UC /N=Tunatic
Task: {D21434B4-1ADB-428B-BDEB-078A653C2D75} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {DAB10B24-3C90-427F-8C21-47388CA7E881} - System32\Tasks\{51F15548-928A-4BD7-AC11-A15A1BE9FEB6} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_.exe -d C:\Users\Mateusz\Downloads
Task: {E4726C40-79A7-4A4A-A41A-8474E9DCBF78} - \FoxTab -> Brak pliku 
Task: {E643D43B-8A7E-4BE9-9321-89DCCD21E12C} - System32\Tasks\{D5DC2E01-A36D-44D5-87FE-FE91CD4C8EDF} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.73.104.456/pl/abandoninstall?page=tsProgressBar
Task: {F3FBF589-4FE2-4085-AF4E-4B4E52BDE7D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {F8AFF733-75A1-4CE3-A9D0-EFE131BFC689} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
S2 AGSService; "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe" [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-543564396-1890180113-2280842612-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=166
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> DefaultScope {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL =
SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL =
FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Autodesk Sync" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Avira Systray" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Home Theater v4" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f
C:\Program Files (x86)\Amazon
C:\Program Files (x86)\Ateredomkefisp
C:\Program Files (x86)\Nimaiedchdsp
C:\Program Files (x86)\Pucupy
C:\ProgramData\Temp
C:\Users\Mateusz\AppData\Roaming\Checkers
C:\Users\Mateusz\Desktop\Checkers.lnk
CMD: dir /a "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data"
CMD: type "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Local State"
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wg pliku Local State bieżącym profilem jest zgodnie z podejrzeniem Profile 2:
 

"last_used":"Profile 2","profiles_created":3}


Potwierdza to też nowy log FRST, co dopiero skonfigurowałeś preferencje w tym profilu, dlatego teraz widać w logu, że Profile 2 jest domyślnym:
 
CHR DefaultSearchURL: Profile 2 -> hxxp://www.fixitpc.pl/topic/30470-chrome-ca%C5%82kowity-reset-moich-ustawie%C5%84-w%C5%82%C4%85czaj%C4%85ce-si%C4%99-samoczynnie-strony/

 
Na dysku jest jednak katalog starszego profilu Default, który być może jest tym właściwym, o ile on w ogóle działa i jest intepretowany przez Chrome. Powiedz mi co widzisz w opcjach Google Chrome w tym miejscu: menu Ustawienia > karta Ustawienia > Osoby > czy widać więcej niż jedną pozycję. Dla jasności dorzuć zrzut ekranu z tego fragmentu opcji.
Odnośnik do komentarza

To oznacza, że folder "Default" jest martwy, ale w nim mogą być poprzednie dane. Spróbuj tego:

 

1. Zamknij Google Chrome. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data

 

2. Widoczny tam folder Profile 2 na wszelki wypadek przekopiuj np. na Pulpit. Następnie zastąp jego zawartość zawartością folderu Default.

 

3. Uruchom Google Chrome i powiedz czy brakujące dane wróciły na miejsce.

Odnośnik do komentarza

Problem rozwiązany. Końcowe mini poprawki:

 

1. W tym starym profilu, który właśnie zaimplementowałeś, były następujące rozszerzenia, które należy odinstalować:

 

CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24]

 

Mocno podejrzane, nie ma czegoś takiego w Chrome Web Store.

 

CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml]

 

Bardzo stare rozszerzenie, które Chrome na pewno odrzuca, bo obecnie jest blokada w przeglądarce uniemożliwiająca instalację rozszerzeń spoza Chrome Web Store. Jeśli potrzebujesz nowej wersji, to jest dostępna: Path of Exile Inventory Helper.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe"
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...