Przy starcie pojawia się folder sysWOW64

[Rafalski]

Witam!

od kliku dni przy starcie otwiera się ten folder.

Wyczytałem gdzieś w necie, że trzeba to sprawdzić, ale sam nie mam wiedzy co zrobić z tym fantem.

Dodatkowo, przy otwieraniu systemu (ale to od kilku już miesięcy) pojawia się komunikat, że (dokładnie nie przytoczę w tej chwili) że jakaś aplikacja nie współdziała z systemem 32/64bitowym.

 

Zrobiłem logi.

Prośba o spojrzenie i podpowiedzi co jest nie tak i jak to ewentualnie poprawić/naprawić.

Dziękuję

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Przy starcie pojawia się folder sysWOW64

Ten efekt powinien pochodzić z jednego z wpisów startowych 32-bit o błędnym formatowaniu. Z raportów nic jednak konkretnego nie wynika. Taki temat już był na forum, a łączy go z Twoim obecność G Data: KLIK. Zalecam to samo co w tamtym temacie. Jednak przed testem:

 

 

 

Na początek doczyść adware i wpisy szczątkowe, zobaczymy czy nie nastąpi jakaś zmiana (wątpię). O zgrozo, część adware nabyłeś właśnie teraz pobierając OTL z serwisu trzeciego (prawdopodobnie "Komputer Świat"), który poczęstował Cię "Asystentem pobierania": KLIK.

 

2014-04-12 17:56 - 2014-04-12 17:56 - 00597632 _____ ( ) C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr (1).exe

2014-04-12 17:56 - 2014-04-12 17:56 - 00000000 ____D () C:\Users\as\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I

2014-04-12 17:55 - 2014-04-12 17:55 - 00000000 ____D () C:\Program Files (x86)\BrowseMark

2014-04-12 17:53 - 2014-04-12 17:53 - 00597632 _____ ( ) C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr.exe

 

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\BrowseMark\updater.exe
R2 UpdaterSvcBrowseMark; C:\Program Files (x86)\BrowseMark\updater.exe [110592 2014-04-02] ()
U3 tmlwf;
U3 tmwfp;
HKLM-x32\...\Run: [NPSStartup] - [X]
Task: {06DDF41B-0B8B-4349-B7B6-50A4A377F364} - System32\Tasks\{BACE3563-06BD-4B48-85E4-6C7C90C259A9} => E:\DEViANCE\keygen.exe
Task: {096209D0-7AE3-4DF8-A498-2CE84CB94181} - System32\Tasks\{6A38902A-E586-416F-B8B9-C0D7E9B81419} => E:\DEViANCE\keygen.exe
Task: {1A6DE5E6-95A5-44B6-8868-C41B9E0F987A} - System32\Tasks\{64AF3A06-676F-4DB1-BDBC-C7864641AF4B} => E:\DEViANCE\keygen.exe
Task: {34FD50A9-4411-486B-AF71-9AD81A21BAF5} - System32\Tasks\{C5189E19-D2C3-4AF4-B3F6-65284275AE69} => C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe [2010-05-26] ()
Task: {71C5930E-C260-4FD8-B736-E2CA80F7CE4B} - System32\Tasks\{8F3198CE-1BAB-4CB6-B225-0D50CEDDCCF8} => E:\DEViANCE\keygen.exe
Task: {8D5E8B41-424D-4605-BF48-5517919CCF6A} - System32\Tasks\{939C09E2-39ED-4426-84D9-4EEA8B4067E3} => C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe [2010-05-26] ()
Task: {9EEBF6C3-4A56-4120-93AA-A7BD8F0448FB} - System32\Tasks\{A4FCAE04-0FBE-4E27-8CE6-966299ACB86A} => E:\DEViANCE\keygen.exe
Task: {BE649C8D-D97C-44F3-9BE3-65B3FC7C7527} - System32\Tasks\SK.Enabler-S-1495795506 => c:\programdata\quickset\sk.enabler\SK.Enabler.exe 
Task: C:\Windows\Tasks\SK.Enabler-S-1495795506.job => c:\programdata\quickset\sk.enabler\SK.Enabler.exe 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buenosearch.com/?babsrc=HP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
URLSearchHook: HKLM-x32 - (No Name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No File
URLSearchHook: HKCU - (No Name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No File
URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
SearchScopes: HKLM - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3D80ACBE-D21C-42C4-9284-DEA8D6EBAD45}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {6BB4347B-C7EE-4A25-9466-484B0F9452B3} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=38A80C81-1AA2-4371-8B63-FBF520CDCA59&apn_sauid=03D683E7-1908-4F41-ABF1-80418FB08E0B
SearchScopes: HKCU - {C2526D9C-173B-4AF4-98E7-814D9DC761E0} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3D80ACBE-D21C-42C4-9284-DEA8D6EBAD45}
BHO-x32: No Name - {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File
FF Plugin-x32: @Nero.com/KM - C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG)
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\as\AppData\Local\funmoods.crx [2014-04-07]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
C:\Users\as\Downloads\Niepotwierdzony*.crdownload
C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr.exe
C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr (1).exe
C:\Users\as\Downloads\SoftonicDownloader_dla_nero-cd-dvd-speed.exe
CMD: for /d %f in (C:\Users\as\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware BrowseMark, OTL 3.2.69.0 Packages, SK.Enabler. Od razu odinstaluj też zbędny MyFreeCodec od Samsung Kies, i tak zostanie uszkodzony przez AdwCleaner, więc lepiej to poprawnie odinstalować.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Funmoods
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner (najnowsza wersja). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

 

.

[Rafalski]

wrzucam nowy log z FRST, a także dołączam plik fixlog.txt i log z AdwCleaner.

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Jeśli chodzi o adware, zadania wykonane. Na koniec:

 

1. Zastosuj TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

---

Jak sądzę otwieranie folderu SysWOW64 nadal zachodzi? Jeśli tak, to wdróż co mówiłam w linkowanym temacie:

 

Czeka Cię więc żmudna ręczna weryfikacja, czyli wyłączanie po jednym wpisie startowym > restart > obserwacja skutków. W Autoruns (na ustawieniu domyślnym nie pokazującym wpisów MS) w kartach Logon i Services odznacz po jednym wpisie na raz i restart. Ten wpis, którego wyłączenie spowoduje zanik efektu, jest winowajcą.

Podaj wyniki który wpis jest wadliwy.

 

 

 

.

[Rafalski]

Tak- sysWOW24 nadal się pojawiał...

 

... aż zacząłem odłączać w Autoruns (parami po jednej aplikacji w Logon i Services) i przy kilkunastej próbie folder ten się już nie pojawił, a zdarzenie to miało miejsce przy odhaczeniu w Logon tego: 

 

G Data ASM G Data AntiVirus AutostartDelayLoad Module G Data Software AG c:\program files (x86)\g data\internetsecurity\delayloader\autorundelayloader.exe 2013-02-25 05:18

 

a w Services tego: 

 

MozillaMaintenance Usługa utrzymania Mozilli dba o to, by na komputerze zainstalowana była najnowsza i najbezpieczniejsza wersja Firefoksa. Korzystanie z aktualnej wersji Firefoksa jest ważnym elementem bezpieczeństwa online i Mozilla zaleca, by ta usługa była aktywna. Mozilla Foundation c:\program files (x86)\mozilla maintenance service\maintenanceservice.exe 2014-03-15 08:21

 

Proszę o informację, jakie wnioski można z tego wysunąć?

[picasso]

Nasuwa się, że problemem jest jednak ten wpis:

 

HKLM-x32\...\Run: [G Data ASM] - C:\Program Files (x86)\G Data\InternetSecurity\DelayLoader\AutorunDelayLoader.exe [472016 2013-02-25] (G Data Software AG)

 

Potwierdź to poprzez: zaznacz go z powrotem w Autoruns, zresetuj system.

 

 

 

.

[Rafalski]

potwierdzam - zahaczyłem to i znów pojawił się folder sysWOW64.

[picasso]

Przyczyna jest znana i na chwilę obecną nasuwa się, by wpis pozostawić trwale wyłączony. Nie mogę się dopatrzyć co tu jest błędnego w tej ścieżce. Podaj eksport tego wpisu z rejestru. Start > w polu szukania wpisz regedit > prawoklik na klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 

Wyeksportuj go do pliku REG. Otwórz plik REG w Notatniku i przeklej jego zawartość do posta.

 

 

 

.

[Rafalski]

wklejam treść z rejestru:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"HControlUser"="C:\\Program Files (x86)\\ASUS\\ATK Hotkey\\HControlUser.exe"

"GDFirewallTray"="C:\\Program Files (x86)\\G Data\\InternetSecurity\\Firewall\\GDFirewallTray.exe"

"SunJavaUpdateSched"="\"C:\\Program Files (x86)\\Common Files\\Java\\Java Update\\jusched.exe\""

"Adobe ARM"="\"C:\\Program Files (x86)\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe\""

"ATKMEDIA"="C:\\Program Files (x86)\\ASUS\\ATK Media\\DMedia.exe"

"ATKOSD2"="C:\\Program Files (x86)\\ASUS\\ATKOSD2\\ATKOSD2.exe"

"G Data AntiVirus Tray"="C:\\Program Files (x86)\\G Data\\InternetSecurity\\AVKTray\\AVKTray.exe"

"G Data ASM"="\"C:\\Program Files (x86)\\G Data\\InternetSecurity\\DelayLoader\\AutorunDelayLoader.exe\" /autostart"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"