Komunikat o błędzie RUNDLL przy starcie systemu

[Vernoo]

Witam. Podczas startu systemu wyskakuję komunikat RUNDLL o treści "Wystąpił błąd podczas ładowania PleaseRatline.dll Nie można odnaleźć określonego modułu." Załączam pliki wygenerowane w FRST oraz GMER.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Błąd tworzy adware PriceFountain w Harmonogramie, ale jest w systemie znacznie więcej śladów, w tym po bardzo starych adware sprzed kilku lat. Ponadto, jest tu strasznie stary (z 2011!) i scrackowany ESET, który należałoby później wymienić czymś nowoczesnym.

 

Wykonaj następujące czynności:

 

1. Odinstaluj wstępnie zbędniki i starocie: Japanese Fonts Support For Adobe Reader 9, McAfee Security Scan Plus, MiPony 2.1.0, MyFreeCodec. Natomiast wejścia uszkodzonych programów adware doczyści poniższy skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HomePage: Default -> hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118
CHR StartupUrls: Default -> "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118"
CHR DefaultSearchURL: Default -> hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir=
CHR DefaultSearchKeyword: Default -> mysearchdial.com
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140825
HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxAX3mng3QUIQYMVDcUQqWUvE2B6tMJOZLhCcmXsT5wre4vOmIAzV-bhZFahSfaRYKck4hEKlxm0FPzkKEqEWcSYdt4,
HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir=
SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir=
SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=04F70060B3077712
SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms}
FF Plugin: @alawar.com/npapi -> H:\WINDOWS\npapi.dll [2014-01-29] (Alawar)
FF Plugin: @pandonetworks.com/PandoWebPlugin -> H:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Task: H:\WINDOWS\Tasks\DriverDoc_UPDATES.job => H:\Program Files\DriverDoc\Solvusoftdd.exe
Task: H:\WINDOWS\Tasks\RMAutoUpdate.job => H:\Program Files\PC Tools Registry Mechanic\SULauncher.exe
Task: H:\WINDOWS\Tasks\RMSchedule.job => H:\Program Files\PC Tools Registry Mechanic\RegMech.exe
Task: H:\WINDOWS\Tasks\WojtekSherlocksBabkaV2.job => H:\WINDOWS\system32\rundll32.exePleaseRatline.dll
AppInit_DLLs: H:\DOCUME~1\ALLUSE~1\DANEAP~1\Viatax\Truebam.dll => Brak pliku
S2 Viatax; H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.exe shuz -f "H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.dat" -l -a
S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X]
S3 ZDCndis5; \??\H:\WINDOWS\system32\ZDCndis5.SYS [X]
S3 ZDPNDIS5; \??\H:\WINDOWS\system32\ZDPNDIS5.SYS [X]
HKLM\...\Run: [] => [X]
HKLM\...\Run: [DivXMediaServer] => H:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [ChicaPasswordManager] => "H:\Program Files\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned
HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [AirDroid 3] => H:\Program Files\AirDroid\AirDroid.exe /start
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FB199703-4327-4CA8-BD37-FF99D3F05BCC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
H:\Documents and Settings\All Users\Menu Start.lnk
H:\Documents and Settings\All Users\Dane aplikacji\TEMP
H:\Documents and Settings\All Users\Dane aplikacji\Viatax
H:\Documents and Settings\All Users\Dane aplikacji\Viataxs
H:\Documents and Settings\All Users\Menu Start\Programy\3DO
H:\Documents and Settings\Wojtek\Dane aplikacji\*.*
H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ChomikBox (2).lnk
H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Facebook.lnk
H:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\profiles\extensions
H:\Documents and Settings\Wojtek\Dane aplikacji\PriceFountain
H:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\SherlocksBabka
H:\Program Files\Common Files\PhysTinfan
H:\Program Files\Mozilla Firefox\extensions
H:\Program Files\Mozilla Firefox\plugins
H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
H:\WINDOWS\system32\findit.xml
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt.

[Vernoo]

Wszystko zrobione zgodnie z instrukcją. Załączam wskazane pliki.

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Kolejna porcja czynności:

1. Ta akcja nie została wykonana:
 

Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu H:\AdwCleaner.

[Vernoo]

Przesyłam log z AdwCleaner.

AdwCleanerS2.txt

[picasso]

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Dostarcz wynikowy log z czyszczenia.

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: H:\AdwCleaner
RemoveDirectory: H:\FRST\Quarantine
RemoveDirectory: H:\Documents and Settings\Wojtek\Pulpit\Stare dane programu Firefox
RemoveDirectory: H:\Program Files\Mozilla Firefox\extensions
RemoveDirectory: H:\Program Files\Mozilla Firefox\plugins

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Vernoo]

Załączam otrzymane logi.

AdwCleanerC1.txt

Fixlog.txt

[picasso]

Akcje pomyślnie przeprowadzone. Na koniec:

 

Skasuj folder FRST z Pulpitu. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[Vernoo]

Dzięki wielkie. Wstawiam jeszcze log z DelFix'a.

DelFix.txt

[picasso]

Skasuj z dysku plik raportu C:\delfix.txt.

 

Temat rozwiązany. Zamykam.