Skocz do zawartości

Przy starcie pojawia się folder sysWOW64


Rafalski

Rekomendowane odpowiedzi

Witam!

od kliku dni przy starcie otwiera się ten folder.

Wyczytałem gdzieś w necie, że trzeba to sprawdzić, ale sam nie mam wiedzy co zrobić z tym fantem.

Dodatkowo, przy otwieraniu systemu (ale to od kilku już miesięcy) pojawia się komunikat, że (dokładnie nie przytoczę w tej chwili) że jakaś aplikacja nie współdziała z systemem 32/64bitowym.

 

Zrobiłem logi.

Prośba o spojrzenie i podpowiedzi co jest nie tak i jak to ewentualnie poprawić/naprawić.

Dziękuję

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przy starcie pojawia się folder sysWOW64

Ten efekt powinien pochodzić z jednego z wpisów startowych 32-bit o błędnym formatowaniu. Z raportów nic jednak konkretnego nie wynika. Taki temat już był na forum, a łączy go z Twoim obecność G Data: KLIK. Zalecam to samo co w tamtym temacie. Jednak przed testem:

 

 

 

Na początek doczyść adware i wpisy szczątkowe, zobaczymy czy nie nastąpi jakaś zmiana (wątpię). O zgrozo, część adware nabyłeś właśnie teraz pobierając OTL z serwisu trzeciego (prawdopodobnie "Komputer Świat"), który poczęstował Cię "Asystentem pobierania": KLIK.

 

2014-04-12 17:56 - 2014-04-12 17:56 - 00597632 _____ ( ) C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr (1).exe

2014-04-12 17:56 - 2014-04-12 17:56 - 00000000 ____D () C:\Users\as\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I

2014-04-12 17:55 - 2014-04-12 17:55 - 00000000 ____D () C:\Program Files (x86)\BrowseMark

2014-04-12 17:53 - 2014-04-12 17:53 - 00597632 _____ ( ) C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr.exe

 

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\BrowseMark\updater.exe
R2 UpdaterSvcBrowseMark; C:\Program Files (x86)\BrowseMark\updater.exe [110592 2014-04-02] ()
U3 tmlwf;
U3 tmwfp;
HKLM-x32\...\Run: [NPSStartup] - [X]
Task: {06DDF41B-0B8B-4349-B7B6-50A4A377F364} - System32\Tasks\{BACE3563-06BD-4B48-85E4-6C7C90C259A9} => E:\DEViANCE\keygen.exe
Task: {096209D0-7AE3-4DF8-A498-2CE84CB94181} - System32\Tasks\{6A38902A-E586-416F-B8B9-C0D7E9B81419} => E:\DEViANCE\keygen.exe
Task: {1A6DE5E6-95A5-44B6-8868-C41B9E0F987A} - System32\Tasks\{64AF3A06-676F-4DB1-BDBC-C7864641AF4B} => E:\DEViANCE\keygen.exe
Task: {34FD50A9-4411-486B-AF71-9AD81A21BAF5} - System32\Tasks\{C5189E19-D2C3-4AF4-B3F6-65284275AE69} => C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe [2010-05-26] ()
Task: {71C5930E-C260-4FD8-B736-E2CA80F7CE4B} - System32\Tasks\{8F3198CE-1BAB-4CB6-B225-0D50CEDDCCF8} => E:\DEViANCE\keygen.exe
Task: {8D5E8B41-424D-4605-BF48-5517919CCF6A} - System32\Tasks\{939C09E2-39ED-4426-84D9-4EEA8B4067E3} => C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe [2010-05-26] ()
Task: {9EEBF6C3-4A56-4120-93AA-A7BD8F0448FB} - System32\Tasks\{A4FCAE04-0FBE-4E27-8CE6-966299ACB86A} => E:\DEViANCE\keygen.exe
Task: {BE649C8D-D97C-44F3-9BE3-65B3FC7C7527} - System32\Tasks\SK.Enabler-S-1495795506 => c:\programdata\quickset\sk.enabler\SK.Enabler.exe 
Task: C:\Windows\Tasks\SK.Enabler-S-1495795506.job => c:\programdata\quickset\sk.enabler\SK.Enabler.exe 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buenosearch.com/?babsrc=HP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
URLSearchHook: HKLM-x32 - (No Name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No File
URLSearchHook: HKCU - (No Name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No File
URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
SearchScopes: HKLM - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0A0E0DtA0F0AtCtA0DzytDtN0D0Tzu0CtBzztCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1797550259
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3D80ACBE-D21C-42C4-9284-DEA8D6EBAD45}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3C542225D3C43D23&affID=128492&tsp=5209
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {6BB4347B-C7EE-4A25-9466-484B0F9452B3} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=38A80C81-1AA2-4371-8B63-FBF520CDCA59&apn_sauid=03D683E7-1908-4F41-ABF1-80418FB08E0B
SearchScopes: HKCU - {C2526D9C-173B-4AF4-98E7-814D9DC761E0} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3D80ACBE-D21C-42C4-9284-DEA8D6EBAD45}
BHO-x32: No Name - {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File
FF Plugin-x32: @Nero.com/KM - C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG)
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\as\AppData\Local\funmoods.crx [2014-04-07]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\as\AppData\Local\funmoods-speeddial_sf.crx [2012-10-07]
C:\Users\as\Downloads\Niepotwierdzony*.crdownload
C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr.exe
C:\Users\as\Downloads\OTL 3.2.69.0_isdmgr (1).exe
C:\Users\as\Downloads\SoftonicDownloader_dla_nero-cd-dvd-speed.exe
CMD: for /d %f in (C:\Users\as\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware BrowseMark, OTL 3.2.69.0 Packages, SK.Enabler. Od razu odinstaluj też zbędny MyFreeCodec od Samsung Kies, i tak zostanie uszkodzony przez AdwCleaner, więc lepiej to poprawnie odinstalować.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Funmoods
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Uruchom AdwCleaner (najnowsza wersja). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

 

.

Odnośnik do komentarza

Jeśli chodzi o adware, zadania wykonane. Na koniec:

 

1. Zastosuj TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 


Jak sądzę otwieranie folderu SysWOW64 nadal zachodzi? Jeśli tak, to wdróż co mówiłam w linkowanym temacie:

 

Czeka Cię więc żmudna ręczna weryfikacja, czyli wyłączanie po jednym wpisie startowym > restart > obserwacja skutków. W Autoruns (na ustawieniu domyślnym nie pokazującym wpisów MS) w kartach Logon i Services odznacz po jednym wpisie na raz i restart. Ten wpis, którego wyłączenie spowoduje zanik efektu, jest winowajcą.

Podaj wyniki który wpis jest wadliwy.

 

 

 

.

Odnośnik do komentarza

Tak- sysWOW24 nadal się pojawiał...

 

... aż zacząłem odłączać w Autoruns (parami po jednej aplikacji w Logon i Services) i przy kilkunastej próbie folder ten się już nie pojawił, a zdarzenie to miało miejsce przy odhaczeniu w Logon tego: 

 

G Data ASM G Data AntiVirus AutostartDelayLoad Module G Data Software AG c:\program files (x86)\g data\internetsecurity\delayloader\autorundelayloader.exe 2013-02-25 05:18

 

a w Services tego: 

 

MozillaMaintenance Usługa utrzymania Mozilli dba o to, by na komputerze zainstalowana była najnowsza i najbezpieczniejsza wersja Firefoksa. Korzystanie z aktualnej wersji Firefoksa jest ważnym elementem bezpieczeństwa online i Mozilla zaleca, by ta usługa była aktywna. Mozilla Foundation c:\program files (x86)\mozilla maintenance service\maintenanceservice.exe 2014-03-15 08:21

 

Proszę o informację, jakie wnioski można z tego wysunąć?

Odnośnik do komentarza

Przyczyna jest znana i na chwilę obecną nasuwa się, by wpis pozostawić trwale wyłączony. Nie mogę się dopatrzyć co tu jest błędnego w tej ścieżce. Podaj eksport tego wpisu z rejestru. Start > w polu szukania wpisz regedit > prawoklik na klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 

Wyeksportuj go do pliku REG. Otwórz plik REG w Notatniku i przeklej jego zawartość do posta.

 

 

 

.

Odnośnik do komentarza

wklejam treść z rejestru:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"HControlUser"="C:\\Program Files (x86)\\ASUS\\ATK Hotkey\\HControlUser.exe"

"GDFirewallTray"="C:\\Program Files (x86)\\G Data\\InternetSecurity\\Firewall\\GDFirewallTray.exe"

"SunJavaUpdateSched"="\"C:\\Program Files (x86)\\Common Files\\Java\\Java Update\\jusched.exe\""

"Adobe ARM"="\"C:\\Program Files (x86)\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe\""

"ATKMEDIA"="C:\\Program Files (x86)\\ASUS\\ATK Media\\DMedia.exe"

"ATKOSD2"="C:\\Program Files (x86)\\ASUS\\ATKOSD2\\ATKOSD2.exe"

"G Data AntiVirus Tray"="C:\\Program Files (x86)\\G Data\\InternetSecurity\\AVKTray\\AVKTray.exe"

"G Data ASM"="\"C:\\Program Files (x86)\\G Data\\InternetSecurity\\DelayLoader\\AutorunDelayLoader.exe\" /autostart"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...