Problem podczas uruchamiania pliku C:\Users\user\wgsdgsdgdsgsd.exe

[Bartazon]

Witam serdecznie,
Mam problem przy uruchamianiu systemu jako Użytkownik - pokazuje się komunikat w oknie "Wystąpił problem podczas uruchamiania pliku
C:\Users\user\wgsdgsdgdsgsd.exe
Nie można odnaleźć określonego modułu."

System został zainfekowany i skorzystałem z programu OTL.

proszę o pomoc i załączam logi.

 

 

Extras.Txt

OTL.Txt

[jessica]

Co do tego komunikatu:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL

[2012-10-29 15:50:57 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe

O4 - Startup: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

Pokaż raport, który pokaże się po restarcie.

 

Zrób wszystkie wymagane logi (OTL, FRST, GMER), - @Picasso na pewno się o nie upomni!

A do usuwania będzie dużo więcej, bo jest np. ZEROACCESS, są sponsorskie śmieci.

 

W związku z ZeroAcces'em możesz też od razu zrobić log z Farbar Service Scanner.

 

 

jessi

[Bartazon]

Dołączam wszystkie logi które udało mi się zrobić: (nie mogę dołaczyć loga z GMERa).

FSS.txt

Addition.txt

FRST.txt

GMER 2.txt

[picasso]

Powtórne wystąpienie OTL wywalam z drugiego posta, przecież źle skonfigurowany (wszystkie opcje zaznaczone na All zamiast filtrowania) .... I nie ma potrzeby sprawdzać po raz drugi. Brakuje pliku FRST Shortcut. GMER uruchomiony w złych warunkach, nie usunąłeś sterownika emulacji: KLIK.

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [721904 2009-08-09] () [File not signed]

U3 auk74ci3; No ImagePath

 

nie mogę dołaczyć loga z GMERa

Pliki o rozszerzeniu *.LOG są tu zabronione. Wyraźnie instrukcja nakazuje kopiowanie do Notatnika i zapis do nowego pliku *.TXT.

 

 

---

I podaję nowe instrukcje, te z poprzedniego posta usuwam.

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\InprocServer32: [Default-wbemess] \\.\globalroot\systemroot\Installer\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. ATTENTION! ====> ZeroAccess?
HKU\.DEFAULT\...\Run: [] => [X]
HKU\S-1-5-21-1768184581-2917878914-1899908149-1004\...\Winlogon: [shell]
HKU\S-1-5-21-1768184581-2917878914-1899908149-1004\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. ATTENTION! ====> ZeroAccess/Alureon?
Startup: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation)
S2 ADExchange; C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\atashost => ""="Service"
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=BC5B0022FAB5ABDC&affID=125032&tsp=5026
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128&type=default&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=bc5be76b0000000000000022fab5abdc
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128&type=default&q={searchTerms}
SearchScopes: HKCU - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://search.avg.com/route/?d=4cd04cbd&v=6.10.6.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files\AVG\AVG2012\avgssie.dll No File
BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\Bartaz\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Bartaz\Desktop\BESTplayer.exe No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File
Task: {64F3CB5B-B1FC-453F-AD27-610E15928739} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-04-06] (Google Inc.)
Task: {7FB9FECC-B984-49FE-8400-71DC97D3216E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-04-06] (Google Inc.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Google Update Helper (Version: 1.3.24.15 - Google Inc.) Hidden
C:\Program Files\mozilla firefox\plugins
C:\ProgramData\Temp
C:\Users\Bartaz\uidsave.dat
C:\Users\Bartaz\AppData\Local\Google
C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}
C:\Users\Bartaz\AppData\Roaming\Babylon
C:\Users\Bartaz\AppData\Roaming\Buma
C:\Users\Bartaz\AppData\Roaming\Oxpies
C:\Windows\Installer\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\Users\TEMP
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: FoxTab FLV Player, Google Update Helper, KMP Service.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. . Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition oraz Shortcut. Dołącz też plik fixlog.txt.

 

 

 

 

.

[Bartazon]

Mam nadzieję, że udało mi się zrobić wszystkie wyszczególnione przez Ciebie punkty:

Dołączam pliki:

Pozdrawiam i z góry dziękuje za pomoc

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Poprzednie akcje wykonane. Kolejna porcja:

 

1. Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
ShortcutWithArgument: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
ShortcutWithArgument: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128
RemoveDirectory: C:\Users\Bartaz\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

2. Uruchom ServicesRepair. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

 

.

[Bartazon]

Mam nadzieję, że udało mi się dobrze wykonać Twoje polecenia. Dołaczam plik FSS.

Pozdrawiam

FSS.txt

[picasso]

1. Brakuje pliku fixlog.txt uzyskanego z przetwarzania skryptu FRST. Dołącz.

2. Odbudowa usług niepomyślna. Ponownie uruchom Services Repair, zresetuj system i podaj log z Farbar Service Scanner.

 

 

 

.

[Bartazon]

brakujacy plik

Fixlog.txt

FSS.txt

[picasso]

Teraz poszło OK, usługi odbudowane. Została drobna sprawa do korekty, czyli odtworzenie brakującej ikony Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt.

 

 

.

[Bartazon]

Chyba koniec.

Fixlog.txt

[picasso]

Naprawa wykonana.

 

1. Usuń ręcznie używane narzędzia z folderu C:\Users\Bartaz\Desktop\Potrzeba. Zastosuj też narzędzie DelFix.

 

2. Wykonaj pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Bartazon]

Raport:

Malwarebytes Anti-Malware.txt

[picasso]

MBAM wykrył tylko (nieczynne już) szczątki adware. Usuń za pomocą programu. I kończymy:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj poniżej wymienione programy: KLIK.

 

Internet Explorer Version 7
 

==================== Installed Programs ======================
 

Adobe Reader 8 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated)

Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation)

Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja SP3

 

 

.

[Bartazon]

Witam, wykonałem wszystkie polecenia. Mam nadzieję, że pomyślnie. Dziękuje, widzę znaczącą poprawę.

Jak sie ustrzec przed ponownymi problemami. Co zainstalować by zabezpieczyć dobrze komputer?

Pozdrawiam

[picasso]

Jak sie ustrzec przed ponownymi problemami. Co zainstalować by zabezpieczyć dobrze komputer?

Antywirus w systemie już jest. Aktualizacje zostały również zalecone i należy kontynuować te działania i później. Dodatkowo możesz rozważyć inne typy zabezpieczeń:

- Adblock Plus (darmowy): bloker reklam dla wszystkich głównych przeglądarek.

- Malwarebytes Anti-Exploit (dostępna wersja free): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami

- SandBoxie (po 30-dniach próbowania pojawia się nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica

 

 

.

[Bartazon]

Powstał jeszcze jeden problem, mianowicie gdy chce otworzyć jakikolwiek folder otwiera się on w nowym oknie pomimo, że w opcjach jest zaznaczone by otwierał sie w tym samym. Jak temu zaradzić.

Pozdrawiam

[picasso]

Start > w polu szukania wpisz regedit > prawoklik na klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder

 

Wyeksportuj do pliku REG, plik otwórz w Notatniku i wklej do posta treść do oceny.

 

 

 

.

[Bartazon]

Dołączam plik

folder.txt

[picasso]

Tu jest wszystko w porządku, domyślna postać klucza systemu Vista.

 

gdy chce otworzyć jakikolwiek folder otwiera się on w nowym oknie pomimo, że w opcjach jest zaznaczone by otwierał sie w tym samym

Sprawdź czy zmieni coś "reset" tego ustawienia: wybierz opcję przeciwną i zapisz zmiany, ponowie zaznacz i zapisz zmiany.

 

 

 

.

[Bartazon]

Dziękuje za wszelką pomoc, wszystko samo wróciło do normy.
Pozdrawiam