wgsdgsdgdsgsd.exe

[Grzesiek89]

Witam.

 

Po uruchomieniu systemu (Windows 7) pojawia się komunikat o problemie ze znalezieniem modułu wgsdgsdgdsgsd.exe. Jest to pozostałość po tzw. "wirusie policyjnym".

 

W załączniku zamieszczam logi z OTL.

 

Będe bardzo wdzięczny za wszelką pomoc.

Pozdrawiam: Grzesiek

OTL.Txt

Extras.Txt

[picasso]

Infekcja źle wyczyszczona, dużo plików na dysku.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\dsgsdgdsgdsgw.reg
C:\scu.dat
C:\Users\Grzesiek\AppData\Roaming\sp_data.sys
C:\Users\Grzesiek\AppData\Roaming\ArcaBit
C:\Users\Grzesiek\AppData\Roaming\ArcaVirMicroScan
C:\Users\Grzesiek\AppData\Roaming\AVG2013
C:\Users\Grzesiek\AppData\Local\Avg2013
C:\Users\Grzesiek\AppData\Local\MFAData
C:\ProgramData\AVG2013
C:\ProgramData\Common Files
C:\ProgramData\MFAData
 
:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121028210441.dll File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121028210441.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić.

 

2. Używałeś AdwCleaner. Należy skorygować domyślne wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_USERS\S-1-5-21-2658946031-212707860-1964500640-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_USERS\S-1-5-21-2658946031-212707860-1964500640-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Wypowiedz się też wyraźnie, czy przypadkiem nie ma problemu z wyświetlaniem gadżetów systemowych, bo były tu widzialne odpadki niezbyt kompletnie odinstalowanego McAfee, który przejmuje kontrolę nad silnikiem skryptów Windows.

 

 

 

.

[Grzesiek89]

Po wykonaniu skryptu błąd ustąpił.

Domyśle wyszukiwarki Internet Explorer zostały skorygowane według instrukcji.

 

Dziękuję za pomoc !

 

Co do gadżetów systemowych słuszna uwaga, jest problem z ich wyświetlaniem na pulpicie. Pojawiają się puste albo czarne okienka. Co w tej sytuacji należy zrobić?

 

Log z OTL w załączniku.

OTL.Txt

[picasso]

Co do gadżetów systemowych słuszna uwaga, jest problem z ich wyświetlaniem na pulpicie. Pojawiają się puste albo czarne okienka. Co w tej sytuacji należy zrobić?

 

Należy zdjąć McAfee z filtrowania skryptów Windows. Podaj dodatkowy raport. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32

 

Klik w Look.

 

 

.

[Grzesiek89]

Raport w załączniku.

SystemLook.txt

[picasso]

Grzesiek89, przypominam zasady o odświeżaniu i cierpliwości. Przetwarzam tematy, gdy mogę, nie wszystkie tematy są takie same, niektóre wymagają innego rodzaju wysiłku. Twój należy do tych bardziej "skomplikowanych".

 

Skan pokazuje nałożenie dwóch problemów: po pierwsze McAfee nie został usunięty prawidłowo z silnika skryptów, po drugie sprawę pogorszył Kaspersky, który przejął kontrolę nad skryptami (wpisy McAfee przesunięte do wartości OriginalDll). Są aż dwie modyfikacje. Na początek zmodyfikujemy wartości OriginalDll, a po tym użyjemy wbudowanej w Kasperskiego procedury rolowania osłony:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wyszukaj klucze:

 

HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}

HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}

HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}

 

Z prawokliku pobierz Uprawnienia. Jako Właściciela przestaw z TrustedInstaller na Administratorów, następnie na liście zaznacz Administratorów i przyznaj im Pełną kontrolę. Porównawczo materiał: KLIK.

 

2. Wejdź do podklucza:

 

HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32

 

Dwuklik na wartość OriginalDll i zamień ścieżkę na C:\Windows\System32\jscript9.dll.

 

Wejdź do klucza:

 

HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32

 

Dwuklik na wartość OriginalDll i zamień ścieżkę na C:\Windows\system32\vbscript.dll.

 

Wejdź do klucza:

 

HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32

 

Dwuklik na wartość OriginalDll i zamień ścieżkę na C:\Windows\system32\jscript.dll.

 

Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32

 

Dwuklik na wartość OriginalDll i zamień ścieżkę na C:\Windows\SysWOW64\vbscript.dll.

 

3. Zdejmij osłonę skryptową Kasperskiego za pomocą jego opcji. Nie mam pod ręką KIS 2013. Tu podaję jak to wygląda w KIS 2011 (Settings > Web Anti-Virus > Settings > odznacz Block dangerous scripts in Microsoft Internet Explorer):

 

 

4. Zresetuj system. Podaj nowy skan SystemLook nate same warunki co poprzednio.

 

 

.

[Grzesiek89]

Po wykonaniu instrukcji wszystkie gadżety wyświetlają się poprawnie. Dziękuje za fachową pomoc i jednocześnie przepraszam za moją niecierpliwość i zbyt szybkie odświeżenie tematu. Wykonujesz na tym forum kawał dobrej roboty poświęcając swój cenny czas, doceniam to. Każdy użytkownik może liczyć na Twoją bezinteresowną pomoc. Takich ludzi się ceni.

 

Wracając do tematu w załączniku zamieszczam log z SystemLooka, jednakże nie wiem czy jest sens go analizować skoro gadżety wyświetlają się poprawnie.

Jeszcze raz dziękuje i życzę wszystkiego dobrego. Temat do zamknięcia.

SystemLook.txt

[picasso]

Zakończ sprawy czyszczenia systemu:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń starszą Java, zaktualizuj Firefox i Office 2010 (SP1): KLIK. Twój log notował wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)

 

 

Wracając do tematu w załączniku zamieszczam log z SystemLooka, jednakże nie wiem czy jest sens go analizować skoro gadżety wyświetlają się poprawnie.

 

Z tego co widzę, wszystkie wpisy McAfee skorygowane na pliki systemowe, ale nie zdjąłeś osłony skryptowej Kasperskiego, która aktualnie przejmuje kontrolę nad silnikiem skryptów. Skoro jednak gadżety wróciły do normy, to zostawiamy jak widać. Jakby co, szukaj w opcjach Kasperskiego tej osłony do deaktywacji. Drobna uwaga: edytowałeś klucze, po edycji należy im przywrócić oryginalne uprawnienia.

 

 

 

.