SysMenu.dll - Nie można odnaleźć określonego modułu

[Hubert31337]

Witam !

 Ostatnio pobrałem jakiś podejrzany plik, ktory jak się potem okazało był wirusem, urzyłem oczywiście odpowiednich programów i go usunąłem. Jak się domyślam, jest to jakaś pozostałość po nim, która jest strasznie uciążliwa. Mianowicie zawsze po włączeniu komputera pojawia się komunikat : http://screenshooter.net/101976161/jtdcady.

  Czytałem o tym, tylko, ze odpowiedzi / rozwiązania są dobierane pod konkretny system. Niestety ja jestem w tym "ciemny", dlatego zwracam się o pomoc w rozwiązaniu problemu tutaj.

Z gory dziekuje za kazda pomoc!

 

 

Chodzi o ten skan? Jesli nie to prosze powiedziec dokladnie o ktory bo sie srednio orientuje

FRST.txt

[picasso]

Proszę zacząć od zasad działu jakie materiały są obowiązkowe: KLIK. Wymagane są raporty z FRST.

 

PS. Poprzedni tytuł przywróciłam, lepiej oddaje treść i przedstawia poblem. Notabene, to nie wirus tylko adware/PUP, a błąd się pojawia, gdyż w Harmonogramie zadań pozostały wpisy startowe. Do analizy potrzebne raporty FRST.

[Hubert31337]

Przepraszam To wszystko co otrzymalem po skanie :

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Tak jak mówiłam, mamy tu źle doczyszczone adware i to nie tylko to zwracające błąd SysMenu.dll. Ale to nie koniec problemów - jest tu także niepoprawnie "odinstalowany" COMODO, który właściwie wygląda jak nie odinstalowany. Wszystkie sterowniki Comodo prują w tle. Jeśli używałeś do deinstalacji programu IOBit Uninstaller lub czegoś podobnego, to był błąd, powinno się używać natywny deinstalator COMODO (zasada tyczy też innych programów zabezpieczających). A sama firma IOBit nie jest godna zaufania, na sumieniu grzeszki (podejrzane związki partnerskie, adware w instalatorach, kradzież bazy MBAM w przeszłości). Ten IObit Malware Fighter słaby, a przy Avast kompletnie zbędny.

 

 

Przeprowadź następujące działania:

 

1. Odinstaluj stare wersje i zbędniki: IObit Apps Toolbar v10.3 (adware od IOBit), IObit Malware Fighter, Java 8 Update 25, Java™ 6 Update 31, Surfing Protection.

 

2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie sieciowe pobierz Właściwości > na liście używanych komponentów podświetl pozycję COMODO, odinstaluj + restart systemu.

 

 

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj zdefektowany szczątek po komercyjnej wersji avast! Firewall NDIS Filter Miniport > z prawokliku odinstaluj i zresetuj system.

 

3. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
DisableService: cmderd
DisableService: cmdGuard
DisableService: cmdHlp
DisableService: inspect
R2 svcgdp; C:\Program Files (x86)\Software Plate\svcgdp.exe [224416 2012-07-02] (Beijing ELEX Technology Co., Ltd.)
S2 CmdAgent; No ImagePath
S3 cmdvirth; No ImagePath
S0 sptd; No ImagePath
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
Task: {02A1542D-7D16-4DCE-AB12-C272E49A9CDE} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 
Task: {43E4C5BE-9452-41CE-86C7-AE94599105B9} - System32\Tasks\{21CD9D93-ABB2-489A-8262-D8B77702CF95} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsPlugin
Task: {4659A0DE-EBF9-44E0-A1FF-45F375FB0D3A} - System32\Tasks\{8257FDA3-FEB3-48DA-BEA8-988202248EAE} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar
Task: {56DEA540-7757-401F-97D9-ED4258460741} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {89F8E6C7-557D-46DA-B820-EE6EADFCD779} - System32\Tasks\{42533AC2-D226-47A5-AECF-32F839DAD083} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.5.0.117&LastError=404
Task: {91699E04-0D45-4679-ACCE-293F87A59317} - System32\Tasks\{D23F55FA-EED9-4199-87BB-EE3AC7C3FAF7} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar
Task: {AC34A251-84BB-4560-BBAF-797E1C7A6354} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {AF507756-D567-48B4-8411-567252FA5894} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {C97BE190-22D0-43B5-A192-9D1CB4AD6CC1} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 
Task: {ED30B592-DBEA-4A4A-B300-73BC2DC2BAE6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {EDA7E35B-78AC-45D0-A3F8-E806870F55E6} - System32\Tasks\Driver Booster SkipUAC (Hubert) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {FE6D46D0-C76E-4D1A-9ADF-4430E4803B13} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
CHR HKU\S-1-5-21-3305830765-1307672135-6286609-1001\SOFTWARE\Policies\Google: Policy restriction 
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1421438541&from=cor&uid=ST31000524AS_6VPCCGGSXXXX6VPCCGGS
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3305830765-1307672135-6286609-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com
URLSearchHook: HKU\S-1-5-21-3305830765-1307672135-6286609-1001 - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files\COMODO
C:\Program Files\Common Files\System\SysMenu.dll
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Software Plate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\TEMP
C:\Users\Hubert\AppData\Local\newhb2.crx
C:\Users\Hubert\Downloads\AdwCleaner*.exe
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\UpdatusUser\Desktop\*.lnk
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup
C:\Windows\System32\Tasks\COMODO
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MKLOL" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TrojanScanner" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, a błąd SysMenu.dll przy starcie systemu już się nie pokaże. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

6. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut nie jest mi już potrzebny), by powstały dwa logi. Dołącz też plik fixlog.txt oraz wszystkie raporty z folderu C:\AdwCleaner (nie uruchamiaj programu ponownie, chodzi o poprzednie wyniki co było usuwane)

[Hubert31337]

Ok wykonalem każdy punkt

Skany:

FRST (po wykonaniu polecen).txt

Addition (po wykonaniu polecen).txt

AdwCleanerR4.txt

AdwCleanerR5.txt

AdwCleanerR6.txt

AdwCleanerS3.txt

AdwCleanerS4.txt

Quarantine.txt

Fixlog.txt

[picasso]

Prawie wszystko zrobione. Jednak nadal na liście zainstalowanych są pozycje IObit Apps Toolbar v10.3 i Java 6 - nie widzisz tego? Usuwanie szczątków COMODO jeszcze nie skończone. W ramach bezpieczeństwa podzieliłam zadania i w skrypcie FRST tylko wyłączyłam sterowniki COMODO. Czas się ich pozbyć całkowicie. Kolejna porcja zadań:

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis IObit Apps Toolbar v10.3 > Dalej. Powtórz zadanie dla Java™ 6 Update 31. Jeśli obu wpisów nie będzie widać w narzędziu, i tak zajmie się nimi punkt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> D:\Programy\IObit Uninstaller\UninstallExplorer64.dll No File
S2 CmdAgent; No ImagePath
S4 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO)
S4 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO)
S4 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO)
S4 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO)
C:\Windows\System32\DRIVERS\cmderd.sys
C:\Windows\System32\DRIVERS\cmdguard.sys
C:\Windows\System32\DRIVERS\cmdhlp.sys
C:\Windows\System32\DRIVERS\inspect.sys
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC media player Packages
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9192EBE9-2C4E-4C69-8ED8-CC0CCBFDBB62}
CreateRestorePoint:
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy wszystko w porządku po usuwaniu komponentów COMODO.

[Hubert31337]

Zrobione.

FRST Ostatni skan.txt

[picasso]

Nie wykonałeś zadania w punkcie 2. Podałeś plik skryptu fixlist (usuwam) a nie plik fixlog (wyniki przetwarzania skryptu). Skrypt w ogóle nie został uruchomiony i nie ma żadnych zmian. Powtarzaj punkty 2+3.

[Hubert31337]

Poprawilem. System wydaje sie dzialac OK

FRST skan po poprawce punktu 2 i 3.txt

Fixlog.txt

[picasso]

Jeden wpis COMODO nie puścił. Poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CmdAgent
RemoveDirectory: C:\_OTL
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\Hubert\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
CMD: del /q C:\Users\Hubert\Downloads\snc1zest.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

[Hubert31337]

Prosze bardzo

Fixlog.txt

[picasso]

Jest niestety problem z pozbyciem się tego klucza. Spróbuj go usunąć z poziomu środowiska zewnętrznego WinRE:

 

1. Przygotuj w Notatniku plik fixlist.txt o zawartości:

 

S2 CmdAgent; No ImagePath

 

Plik fixlist.txt musi leżeć w tym samym katalogu co FRST. Podłącz jakiś pendrive i na nim umieść oba elementy.

 

2. Przy starcie systemu F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie ze wskazówkami FRST: KLIK. Klik w Fix, na pendrive powstanie plik fixlog.txt.

 

3. Zaloguj się z powrotem do Windows i podaj plik fixlog.txt.