RUNDLL - błąd podczas ładowania wgsdgsdgdsgsd.exe

[logmen]

Witam.

Podczas ładowania się systemu okienkowego wyskakuje taki oto komunikat:

 

 

Prawdopodobnie jest to pozostałość po wirusie "policyjnym" który to "blokował" komputer. 

Jak się z tą pozostałością rozprawić?

 

Jest to komputer rodziców, czasami do nich przyjeżdżam i robię im porządki programami: spybot search and destroy, a następnie ccleaner.

Jakiś czas temu był tu również zainstalowany program antywirusowy avira anty vir, jednakże zastąpił go pakiet z netii 'bezpieczny internet'.

Po paru latach bez reinstalacji, system stał się "troszeczkę" ociężały.

 

Dołączam odpowiednie logi.

Pozdrawiam.

Extras.Txt

OTL.Txt

Gmer.txt

[picasso]

Jest to komputer rodziców, czasami do nich przyjeżdżam i robię im porządki programami: spybot search and destroy, a następnie ccleaner.

Spybot to sfatygowany program i ma niską skuteczność. Lepszym skanerem jest Malwarebytes Anti-Malware.

 

 

Prawdopodobnie jest to pozostałość po wirusie "policyjnym" który to "blokował" komputer.

 

Tak, to błąd po infekcji "policyjnej". Infekcja nie została usunięta i nadal w starcie się uruchamia:

 

O4 - Startup: C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)

 

Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\MiG\uz.dat
C:\Documents and Settings\MiG\uidsave.dat
C:\Documents and Settings\MiG\Dane aplikacji\PriceGong
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
IE - HKU\S-1-5-18\..\SearchScopes\{2F2D66EF-62D7-4036-9CD2-21B2EEFE4128}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE
IE - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\SearchScopes\{1E7A9DDF-0235-4EE3-B5BD-BFFD57176C27}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Wyczyść Firefox z adware i starych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[logmen]

Problem naprawiony.

 

Dziękuję bardzo za fachową i szybką pomoc w usunięciu tego problemu.

 

Załączam logi o które prosiłaś.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Usuwam jeden z logów AdwCleaner, wystarczy ten z usuwania. Miałeś dodać log z wynikami usuwania OTL, ale to już pomińmy (widzę pożądane zmiany w nowym skanie). Końcowe czynności:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Services
adiusbaw

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 23

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5

"{32A3A4F4-B792-11D6-A78A-00B0D0160050}" = Java™ SE Development Kit 6 Update 5

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl)

 

Czyli: odinstaluj wszystkie Java i Adobe Reader (to ich luki są jedną z przyczyn infekcji), zaktualizuj Firefox oraz Microsoft SQL Server 2005 (KB913089).

 

 

 

.

[logmen]

Zrobione.

Jeszcze raz dziękuję za cierpliwość i okazałą pomoc.

 

Pozdrawiam.