rundll error wgsdgsdgdsgsd.exe

[Kojot1George]

WItam,

 

Po uruchomieniu systemu mam problem z pozostaloscia po tej 'cyber policji', tj. problem ze znalezieniem modułu wgsdgsdgdsgsd.exe

 

Załaczam logi z otl

 

Proszę o pomoc

Extras.Txt

OTL.Txt

[picasso]

Co to za jakaś "ankieta" od czapy tu była? Usuwam. Na temat używanych już narzędzi: SpyHunter to skaner wątpliwej reputacji, a HijackThis nie nadaje się na systemy 64-bitowe (brak poboru 64-bitowych danych i opowiadanie głupot). Prócz "policji", są tu ślady źle doczyszczonej infekcji Qooqlle oraz masa adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\oem\AppData\Local\Codecs.exe
C:\ProgramData\lsass.exe
C:\ProgramData\nircmd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\timerxfile
C:\ProgramData\datesavefile
C:\ProgramData\varsavefile
C:\ProgramData\operaprefs.ini
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={D464D37C-F3B6-11E1-8AA7-BBE800778213}"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=100581"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={59F73318-8768-42EC-AE00-9431DD33B3FF}&mid=ff3e5287f64847d19409a5b92b290b83-85e36a03d2867f287892d78a05a48812fbd2242c&lang=pl&ds=AVG&pr=fr&d=2012-02-13 19:37:53&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={D464D37C-F3B6-11E1-8AA7-BBE800778213}"
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL File not found 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\oem\AppData\Local\RewardsArcade\498\Firefox [2011-12-04 10:17:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\14.0.3.14 [2013-01-31 14:19:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1E73965B-8B48-48be-9C8D-68B920ABC1C4}: C:\Program Files (x86)\AVG\AVG2012\Firefox4\
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O18:64bit: - Protocol\Handler\AutorunsDisabled\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Secondary Start Pages"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Raport notuje brak pliku HOSTS:

 

Hosts file not found

 

Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folder C:\Windows\system32\drivers\etc.

 

3. Odinstaluj adware 1ClickDownloader, Ashampoo PO Toolbar, Ask Toolbar, AVG Security Toolbar, Conduit Engine, DAEMON Tools Toolbar, RewardsArcade, uTorrentBar Toolbar, uTorrentControl_v2 Toolbar, uTorrentControl2 Toolbar, Update Manager for SweetPacks 1.0. Pozbądź się też doinstalowanych skanerów SpyHunter i FreeFixer.

 

4. Google Chrome: wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń SweetIM Search z listy. W Rozszerzeniach odinstaluj AVG Secure Search, General Crawler, RewardsArcade, SweetIM for Facebook, uTorrentControl_v2, uTorrentControl2, Yontoo.

 

5. Firefox: Wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Kojot1George]

Wielkie dzięki, system uruchamia się już poprawnie

Co do ankiety narzucała mi się przy próbie publikowania posta (przy próbie olania nie publikowało), być może coś niechcący wcześniej kliknąłem #touchpad

 

Załączam loga

OTL.Txt

 

z adwc

AdwCleanerS1.txt

 

firefox niezainstalowany

[picasso]

Nie podałeś raportu utworzonego przez AdwCleaner, dołącz pro forma w poprzednim poście. Nie ma żadnych oznak wykonania tego:

 

5. Firefox: Wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Log z OTL wysyła sprzeczne komunikaty. Z jednej strony w kluczach Mozilla w rejestrze nie widzę klucza równego wersji (co sugeruje odinstalowany program), z drugiej na liście zainstalowanych widać jawny wpis (to z kolei wręcz mówi, że program jest zainstalowany):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

Uściślij: Firefox zainstalowany czy nie? W tym drugim przypadku zadam czyszczenie szczątków Firefox.

 

 

EDIT: Doedytowałeś wymagane dane. Lecimy z poprawkami na szczątki po odinstalowanych programach, a odpowiadasz mi już oczywiście w nowym poście.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\oem\AppData\Roaming\Mozilla
C:\Program Files\Enigma Software Group
C:\Users\oem\AppData\Roaming\FreeFixer
C:\Users\oem\AppData\Local\FreeFixer
 
:OTL
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKCU\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
DRV:64bit: - File not found [File_System | Disabled | Stopped] -- C:\Program Files\UltraISO\drivers\ISODrive.sys -- (ISODrive)

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Classes\.html]
@="Opera.HTML"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 15.0.1 (x86 pl)]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[Kojot1George]

Log:

OTL.Txt

[picasso]

Wszystko zrobione. Kolejne działania:

 

1. Twój system prezentuje błędny poziom Service Pack, czyli SP2 (nie istnieje taki SP dla Windows 7):

 

64bit- Home Premium Edition Service Pack 2 (Version = 6.1.7600) - Type = NTWorkstation

 

Masz build 6.1.7600 = jest to goły Windows 7 bez żadnego Service Packa. Wykonaj korektę wersji. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"CSDVersion"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Sprawdź w Panel sterowania > System i zabezpieczenia > System czy wyświetla się prawidłowy status systemu (żadnego napisu "Service Pack 2").

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, wszystkie pliki FIX.REG do wyrzucenia.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na zakończenie aktualizacje: KLIK. U Ciebie: pełna aktualizacja systemu z Windows Update (SP1 + IE9 + reszta łat) oraz usunięcie starych wersji Java i Adobe Shockwave Player:

 

Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
"{32A3A4F4-B792-11D6-A78A-00B0D0160160}" = Java™ SE Development Kit 6 Update 16
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

 

 

.