Okno: błąd systemu - explorer.exe i brak minerd.dll

[Melami]

Też to mam: https://www.fixitpc.pl/topic/21390-minerddll-oraz-wysokie-użycie-cpu/

Też mam Eset - legalny. Wczoraj wykrył przy skanowaniu konia trojańskiego i go usunął, a dziś wyskakuje to okienko, u mnie po angielsku :

"The program can't start because minerd.dll is missing from your computer. Try reinstalling program to fix this problem."

 

W załączniku raport ze skanowania antywirusem i logi.

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Raport skanowania Eset Endpoint.txtPobieranie informacji ...

[picasso]

Co było pobierane / instalowane tuż przed wystąpieniem objawów? Jest to zadziwiające, że dziś jest plaga i zastanawiam się mocno gdzie jest źródło. Oprócz tej infekcji, w systemie jest też zainstalowane adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\Aleksandra\pwo5\svchost.exe
() C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322\bin\winlogon.exe
(Simplygen) C:\Program Files (x86)\Protected Search\ProtectedSearch.exe
C:\Users\Aleksandra\pwo5
C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322
C:\Program Files (x86)\AVG-AntiVirus-Free-Edition(13206).exe
HKLM\...\Run: [] - [x]
HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=2937
HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}
SearchScopes: HKLM-x32 - {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml
Task: {AC0B81C6-70DB-4C2A-93AD-2530DBDF1EFF} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2012-10-11] (Simplygen) 
S3 Lanillat;
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
CMD: netsh advfirewall reset
CMD: for /d %f in (C:\Users\Aleksandra\AppData\Local\{*}) do rd /s /q "%f"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware DownTango, Protected Search 1.1.

 

3. Wyczyść Google Chrome z adware:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Web Search.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Melami]

Nie wiem o co chodzi, ale nagle ta strona forum nie ma żadnej grafiki i nie mogę dolączyć plików.

 

Czy to coś z tym czyszczeniem ma współnego?

AdwCleanerS0.txtPobieranie informacji ...

[picasso]

Czy został zastosowany TFC Temp - Cleaner i system zresetował się? Objaw jest związany z cache przeglądarki. Zastosuj CTRL+F5 na stronie (odświeżenie wprost z serwera z ominięciem cache). Jeśli widok się naprawi, dołącz pozostałe brakujące logi.

 

 

.

[Melami]

Jest ok. Jeżeli chodzi o instalowane programy, to kilka dni temu instalowałam darmowy program do przerabiania pdfów na pliki tekstowe. Dziwne było to, że w gruncie rzeczy nie działał, więc go odinstalowałam. Nie pamiętam jak się nazywał.

Zastosowałam TFC Temp - Cleaner i system się zrestartował.

Wklejam brakujące logi.

AdwCleanerR0.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

[picasso]

1. Akcje w Google Chrome nie wyglądają na wykonane, nadal widzę ustawioną jako domyślną wyszukiwarkę adware Web Search oraz martwe wtyczki. Powtórz:

 

 

  picasso napisał(a):

3. Wyczyść Google Chrome z adware:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Web Search.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. W Internet Explorer są powielone wyszukiwarki Google. Opcje internetowe > Programy > Zarządzaj dodatkami > Dostawcy wyszukiwania > skasuj z listy wszystkie wystąpienia Google poza tym ustawionym jako wyszukiwarka domyślna.

 

3. Zrób nowy log FRST (bez Addition).

 

 

 

  Cytat

Jeżeli chodzi o instalowane programy, to kilka dni temu instalowałam darmowy program do przerabiania pdfów na pliki tekstowe. Dziwne było to, że w gruncie rzeczy nie działał, więc go odinstalowałam. Nie pamiętam jak się nazywał.

Widzę ten instalator:

 

2014-01-14 11:07 - 2014-01-14 11:07 - 01128916 _____ (www.hellopdf.com ) C:\Users\Aleksandra\Downloads\pdf2wordsetup.exe

 

Jednak nie sądzę, by on był powiązany (chyba, że ten instalator był wyekstraktowany z jakiegoś innego wrappera). I nie potrafię żadnej instalacji skojarzyć z elementami infekcji, gdyż folder pwo5 należny do infekcji był poza zakresem czasowym raportu, miał datę ustawioną na sierpień 2013:

 

HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] ()

 

Jednak timestamp nie jest jednoznacznym dowodem, że infekcja została wprowadzona kilka miesięcy temu. Znaczniki czasu mogą być oszukane i "cofnięte wstecz". Jest tu równie prawdopodobne, że infekcja działała już wiele mięsięcy, tylko dopiero instalacja ESET ją namierzyła, jak i że jest to świeży nabytek.

 

 

 

.

[Melami]

Faktycznie ten krok 3 mi umknął. Teraz już zrobiłam i wklejam loga.

 

Co do infekcji, to w takim razie nie wiem co to mogło być, mam tylko nadzieję, że mi nie zrobiło na laptopie za dużo nieprzyjemności.

FRST.txtPobieranie informacji ...

[picasso]

Zadane kroki w Google Chrome wykonane, ale punkt 2 związany z wyszukiwarkami Internet Explorer nie ma odbicia w raporcie. Czy Ty w ogóle widzisz powielone pozycje Google w Dostawcach wyszukiwania?

 

 

.

[Melami]

Tak, były dwie pozycje, jedną usunęłam, została jedna. Więcej nie widzę. Ja generalnie nie używam Chroma ani Explorera, tylko Firefoxa.

[picasso]

OK, kończymy:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Aleksandra\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starą niebezpieczną wersję Java 6, zaktualizuj OpenOffice.org, by mógł korzystać z najnowszej wersji + doinstaluj najnowszą wersję Java 7. Zaktualizuj też wtyczki Adobe Flash. Stan obecnie widziany w systemie:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Java™ 6 Update 25 (x32 Version: 6.0.250 - Oracle)

OpenOffice.org 2.4 (x32 Version: 2.4.9364 - OpenOffice.org)

 

Szczegóły aktualizacyjne tych aplikacji: KLIK.

 

 

.

[Melami]

Wszystkie kroki wykonałam, tylko zamiast aktualizować OpenOffice (nie udało mi się tego zrobić), odinstalowałam starą wersję i zainstalowałam nową 3.4.1. Reszta wg instrukcji.

Zostały mi jeszcze na dysku aplikacje FRST64, GMER i TFC oraz pliki: Addition, AdwClear[R0], AdwClear[s0] i Fixlog. Czy mam coś z nimi zrobić?

[picasso]

  Cytat

tylko zamiast aktualizować OpenOffice (nie udało mi się tego zrobić), odinstalowałam starą wersję i zainstalowałam nową 3.4.1.

W porządku, w domyśle jest instalacja nowej wersji, jeśli bezpośrednia aktualizacja o wiele niższej wersji nie jest możliwa.

 

 

  Cytat

Zostały mi jeszcze na dysku aplikacje FRST64, GMER i TFC oraz pliki: Addition, AdwClear[R0], AdwClear[s0] i Fixlog. Czy mam coś z nimi zrobić?

FRST już podawałam do kasacji ręcznej, resztę także możesz usunąć zwyczajną metodą.

 

 

 

.

[Melami]

Wykonane.