Problem podczas uruchamiania pliku C:\Users\user\wgsdgsdgdsgsd.dll

[Bogdan24]

Witam serdecznie,

Mam problem przy uruchamianiu systemu jako Użytkownik - pokazuje się komunikat w oknie "Wystąpił problem podczas uruchamiania pliku

C:\Users\user\wgsdgsdgdsgsd.exe

Nie można odnaleźć określonego modułu."

 

System został zainfekowany i oczywiście jako niedoświadczony użytkownik skorzystałem z programu Combofix, naszczęści system działa choć zostały przy tym usuniete jakieś pliki systemowe ponieważ pojawił się problem z systemem zabezpieczeń - pojawiły się komunikaty których nawet nie mogę otworzyć.

 

proszę o pomoc i załączam logi.

OTL.Txt

Extras.Txt

[picasso]

Temat założony w złym dziale. Przenoszę do diagnostyki infekcji. Infekcja nie jest wyczyszczona, stąd błąd. I nie podałeś raportu z ComboFix, by było wiadome co robił.

 

 

choć zostały przy tym usuniete jakieś pliki systemowe ponieważ pojawił się problem z systemem zabezpieczeń - pojawiły się komunikaty których nawet nie mogę otworzyć.

 

Jakie komunikaty?

 

 

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Yontoo 1.10.03.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
IBUpdaterService
 
:Files
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.reg
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Windows\SysNative\roboot64.exe
C:\Users\user\AppData\Roaming\Babylon
C:\Users\user\AppData\Roaming\PerformerSoft
C:\ProgramData\IBUpdaterService
C:\ProgramData\Tarma Installer
C:\Program Files (x86)\File Scout
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
C:\Program Files (x86)\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=1&barid={0705FDBE-6540-11E1-A8F3-90E6BA72C427}&q={searchTerms}&barid={0705FDBE-6540-11E1-A8F3-90E6BA72C427}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=117116&tt=271212_yh_5212_2&babsrc=SP_ss&mntrId=bad0896800000000000090e6ba72c427"
IE - HKCU\..\SearchScopes\{7CD5B8FC-7B38-4CF8-BCED-375F2B8D15FE}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=952"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={637B4F0D-85F9-4506-9F11-29A91612D231}&mid=8d2fc10e3dac47d6950c41affc962dd4-bd0144b07d5d888caf3b4d886b6ffa5abbe33463&lang=pl&ds=AVG&pr=fr&d=2012-03-15 01:43:38&v=10.0.0.7&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{B8AED4D1-AC9C-4796-8902-C285E61E12F4}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
IE - HKCU\..\SearchScopes\{E153532A-60EA-4AE5-8702-B4261982074A}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=1&barid={0705FDBE-6540-11E1-A8F3-90E6BA72C427}&q={searchTerms}&barid={0705FDBE-6540-11E1-A8F3-90E6BA72C427}"
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz log utworzony wtedy przez ComboFix (C:\ComboFix.txt).

 

 

 

.

[Bogdan24]

Bardzo dziękuję za zajęcie się problemem. Wykonałem wszystkie wskazane polecenia. W załaczeniu przesyłam przesyłam logi.

 

Pozdrawiam

OTL.Txt

AdwCleanerS1.txt

ComboFix.txt

[picasso]

Nie odpowiedziałeś mi na pytanie:

 

choć zostały przy tym usuniete jakieś pliki systemowe ponieważ pojawił się problem z systemem zabezpieczeń - pojawiły się komunikaty których nawet nie mogę otworzyć.

 

Jakie komunikaty?

 

Co do zadań: wykonane. Poprawki i kończymy:

 

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\user\Downloads\ComboFix.exe /uninstall

 

Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

3. Odinstaluj starszy Adobe Reader i 32-bitową Java, zastąp najnowszymi, zaktualizuj Firefox: KLIK. Aktualnie log notuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)

 

 

 

 

.

[Bogdan24]

Dziękuję za pomoc wykonałem wszystkie polecenia i jest ok. Jeśli chodzi o o te komunikaty to były to komunikaty centrum akcji o stanie komputera więc myślę że wszystko jest ok.

Pozdrawiam