Błąd: wgsdgsdgdsgsd.dll

marcin00 · 6 Stycznia 2013

Witam wszystkich!

Jak się spodziewaliście chodzi o tego słynnego wirusa UKASH...

Bardzo proszę o pomoc w pozbyciu się tego błędu. Będę bardzo wdzięczny.

picasso · 8 Stycznia 2013

Post wprowadzający w błąd na temat zalogowanych kont usuwam. Nadwyżkę logów usuwam: marcin00 ten drugi zestaw logów zrobiony źle (ustawione wyszukiwanie plików z całego zakresu czasowego a nie 30-dni). Zostawiam tylko właściwsze logi. Następnie: uruchamiałeś ComboFix i nie ma tu wzmianki o tym ani podanego raportu co robił.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Services
MSICDSetup
catchme
XDva397
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatywierdź restart systemu.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Przypominam: szukanie plików na 30-dni.

.

marcin00 · 10 Stycznia 2013

Przepraszam że tak późno ale nie miałem zbytnio czasu żeby się szybciej lognąć.

Dziękuję za zainteresowanie tematem.

OTL.Txt

picasso · 11 Stycznia 2013

Zadania wykonane, ale są te kuriozalne wpisy sugerujące uszkodzenie ścieżek folderów powłoki w rejestrze:

O4 - Startup: C:\Users\a\.gstreamer-0.10 [2012-05-11 16:55:32 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\a\.swt [2013-01-04 20:58:15 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\a\AppData [2012-03-13 02:09:27 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\a\Contacts [2012-03-13 02:09:49 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Cookies [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Dane aplikacji [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Desktop [2013-01-09 16:16:11 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Documents [2012-11-30 14:20:11 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Downloads [2013-01-08 20:05:53 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Favorites [2012-03-13 02:36:05 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Links [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\Menu Start [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Moje dokumenty [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Music [2012-03-13 02:09:49 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\NetHood [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\NTUSER.DAT ()

O4 - Startup: C:\Users\a\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\a\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\a\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\a\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\a\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\a\ntuser.ini ()

O4 - Startup: C:\Users\a\Pictures [2012-10-14 10:22:23 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\PrintHood [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Recent [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Saved Games [2012-08-29 16:09:26 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\a\Searches [2012-04-12 16:04:50 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\a\SendTo [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Szablony [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Ustawienia lokalne [2012-03-13 02:09:27 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\a\Videos [2012-03-13 02:09:49 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\All Users\Adobe [2012-09-19 19:35:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple [2012-03-24 12:21:37 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple Computer [2012-03-24 12:22:36 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\ATI [2012-03-13 02:23:34 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\AVAST Software [2012-03-13 02:43:16 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Dane aplikacji [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Documents [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Dokumenty [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Gadu-Gadu 10 [2012-03-17 16:59:16 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\HP [2012-03-18 13:43:38 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\HP Photo Creations [2012-03-18 13:52:07 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Menu Start [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Microsoft [2012-07-08 13:51:37 | 000,000,000 | --SD | M]

O4 - Startup: C:\Users\All Users\Microsoft Help [2012-03-13 02:32:34 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Mozilla [2012-05-03 17:20:55 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\OpenFM [2012-08-08 12:49:13 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\PMB Files [2013-01-05 19:46:07 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Pulpit [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Sun [2012-03-17 16:04:40 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Szablony [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Templates [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Ulubione [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\AppData [2009-07-14 03:37:05 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Default\Application Data [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Dane aplikacji [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Desktop [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Documents [2012-03-13 02:07:36 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Downloads [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Favorites [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Links [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Menu Start [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Moje dokumenty [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Music [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\My Documents [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NetHood [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NTUSER.DAT ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Default\Pictures [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Recent [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 03:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\SendTo [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Szablony [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Templates [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Ustawienia lokalne [2012-03-13 02:07:36 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Videos [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\AppData [2012-12-24 13:27:34 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Public\Desktop [2013-01-06 21:21:25 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Documents [2012-11-30 14:21:14 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Downloads [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Favorites [2009-07-14 03:04:25 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Libraries [2012-03-17 11:28:19 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Music [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Pictures [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Recorded TV [2012-03-15 16:45:44 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Videos [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

Dodaj log dodatkowy. Uruchom SystemLook i do okna wklej:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Look.

.

marcin00 · 11 Stycznia 2013

Wykonane

PS. Ale możesz mi to "kuriozalne wpisy sugerujące uszkodzenie ścieżek folderów powłoki w rejestrze" przełożyć na trochę prostszy język

SystemLook.txt

picasso · 12 Stycznia 2013

Na ludzki język: w rejestrze brakuje ścieżek specjalnych folderów takich jak Autostart, Dokumenty, Pobieranie... I to brak zdefiniowanego Startup powoduje te dziwne odczyty w skanie OTL. Naprawiaj:

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\a\\Searches"
"{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\a\\Downloads"
"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\a\\AppData\\LocalLow"
"Startup"="C:\\Users\\a\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\a\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Personal"="C:\\Users\\a\\Documents"
"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\a\\Links"
"Cache"="C:\\Users\\a\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\a\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\a\\Saved Games"
"Fonts"="C:\\Windows\\Fonts"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Zresetuj system. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

.

marcin00 · 12 Stycznia 2013

Zrobiłem. A w ogóle to zauważyłem, że w "autostarcie" mam jakiś nowy plik runctf(wpis do rejestru), a nigdy tam nic nie miałem

picasso · 12 Stycznia 2013

Logi z OTL źle zrobione (miał być Rejestr ustawiony a nie Rejestr - skan dodatkowy). Usuwam. I jednak daj normalny log OTL z opcji Skanuj na standardowych ustawieniach, bo:

w "autostarcie" mam jakiś nowy plik runctf(wpis do rejestru), a nigdy tam nic nie miałem

To jest plik infekcji. Teraz dopiero go widać, ponieważ naprawiłam ścieżki specjalnych folderów, m.in. Autostartu. Wymagane więc poprawki. Czekam na poprawny log OTL.

.

marcin00 · 12 Stycznia 2013

Chyba powinno być dobrze

OTL.Txt

picasso · 12 Stycznia 2013

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Klik w Wykonaj skrypt. Tym razem bez restartu, otworzy się log z wynikami usuwania.

2. Do oceny wystarczy tylko log z wynikami usuwania, nowy skan OTL niepotrzebny. Log będzie krótki = wklej zawartość wprost w poście.

.

marcin00 · 12 Stycznia 2013

Proszę bardzo

========== FILES ==========

C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.

========== REGISTRY ==========

Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found.

Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 01122013_182018

picasso · 12 Stycznia 2013

Zrobione i możemy zakończyć sprawy:

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Odinstaluj stare produkty Adobe / Java / Silverlight, zaktualizuj Firefox, pakiet Office 2007 i cały Windows: KLIK. Wg raportu Windows 7 nie ma SP1 i IE9 oraz są zainstalowane wersje:

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

PS. I pozbądź się potwora Gadu-Gadu 10. Pamięciożerny, ciężki, więcej reklam niż rzeczywistych funkcji. Polecane tu alternatywy: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

marcin00 · 12 Stycznia 2013

Bardzo dziękuję Pani za pomoc.

Wszystkie czynności końcowe wykonałem według zaleceń. Pozdrawiam.

Zaloguj się

Błąd: wgsdgsdgdsgsd.dll

Rekomendowane odpowiedzi

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

picasso

Odnośnik do komentarza

marcin00

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność