Błąd wgsdgsdgdsgsd.dll

[reko44]

Kilka miesięcy temu miałem problem z tą "policją" i od tamtego czasu pojawia się ten komunikat. Proszę o pomoc, jak go usunąć ?

OTL.Txt

Extras.Txt

[picasso]

Czy to na pewno log z właściwego konta? Zalogowany jest Damian, ale jeszcze na dysku widać Reko. Owszem, śmietnisko adware tu jest, ale nie składniki infekcji powodującej omawiany błąd. Na razie wyczyść śmietnik:

 

1. Na początek deinstalacje:

- Przez Panel sterowania odinstaluj: Babylon toolbar on IE, BabylonObjectInstaller, bProtector for Windows, MediaBar, Norton Security Scan.

- W Google Chrome: W Rozszerzeniach odinstaluj Babylon Translator, Settings Protector. W zarządzaniu wyszukiwarkami ustaw jako domyślną Google (aktualnie brak).

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_5&babsrc=SP_clro&mntrId=5aa95c1e0000000000001a4bd6a9ec4b
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{8853C697-F44E-41E8-9310-1A5DD4150FA9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=26DA62AF-7B06-4B63-A088-4D206FC00209&apn_sauid=0DDF9246-FF69-4C69-897F-A2982AC050E9
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_5&babsrc=SP_clro&mntrId=5aa95c1e0000000000001a4bd6a9ec4b
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{8853C697-F44E-41E8-9310-1A5DD4150FA9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=26DA62AF-7B06-4B63-A088-4D206FC00209&apn_sauid=0DDF9246-FF69-4C69-897F-A2982AC050E9
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Users\Damian\AppData\LocalLow\ConduitEngine\ldrConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found
6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Value error.)
O20 - AppInit_DLLs: (c:\progra~3\pcperf~1\261249~1.132\{61d8b~1\pcpmngr.dll) - c:\ProgramData\PC Performer Manager\2.6.1249.132\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll ()
SRV - [2013-03-22 16:09:37 | 002,787,280 | ---- | M] () [Auto | Running] -- C:\ProgramData\PC Performer Manager\2.6.1249.132\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe -- (PC Performer Manager)
 
:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\PC Performer Manager
C:\Users\Damian\AppData\LocalLow\ConduitEngine
C:\Users\Damian\AppData\Roaming\BabMaint.exe
C:\Users\Damian\AppData\Roaming\5AA95
C:\Users\Damian\AppData\Roaming\95C1E
C:\Users\Damian\AppData\Roaming\BabSolution
C:\Users\Damian\AppData\Roaming\PerformerSoft
C:\Users\Damian\AppData\Roaming\wyUpdate AU
C:\Users\Damian\Downloads.lnk
C:\Users\Damian\uidsave.dat
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml
netsh advfirewall reset /C
 
:Reg
[HKEY_USERS\S-1-5-21-4242285250-4236164774-3963713947-1000\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-4242285250-4236164774-3963713947-1001\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.

 

 

 

.

[reko44]

Wiem, że laptop był zaśmiecony, ale już postarałem się po odinstalowywać niepotrzebne programy. Zrobiłem to, co napisałaś/eś i komunikat nadal się pojawia.

Log z usuwania nie można było wrzucić bezpośrednio, także dałem na wklej.org

Log z usuwania - http://wklej.org/id/1045550/

Reszta:

FSS.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zrobiłem to, co napisałaś/eś i komunikat nadal się pojawia.

 

Oczywiście, przecież mówiłam:

 

Czy to na pewno log z właściwego konta? Zalogowany jest Damian, ale jeszcze na dysku widać Reko. Owszem, śmietnisko adware tu jest, ale nie składniki infekcji powodującej omawiany błąd. Na razie wyczyść śmietnik

 

I nie odpowiedziałeś mi nadal na pytanie: czy to właściwe konto?

 

 

.

[reko44]

Tak, to właściwe konto, a tamto konto "Reko" już usunąłem.

[picasso]

Otwórz Windows Explorer, w pasku adresów wklej tę ścieżkę i ENTER:

 

C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Czy w środku widzisz plik o nazwie runctf.lnk?

 

 

 

.

[reko44]

Tak, znajduje się taki plik.

[picasso]

Log z OTL tego nie pokazuje, ale to jest przyczyna wyskakiwania błędu wgsdgsdgdsgsd.dll. I jeszcze drobne poprawki będą na inne rzeczy.

 

1. Przez SHIFT+DEL skasuj ten plik runctf.lnk. Zresetuj system, by potwierdzić czy błąd przestał się ujawniać.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - !{32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
[2013-05-22 16:17:49 | 000,001,115 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
[2013-05-22 17:21:42 | 000,000,004 | ---- | C] () -- C:\Windows\SysWow64\www.pid

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Plik HOSTS nie ma idealnie zgodnej z Windows 7 zawartości. Zresetuj narzędziem Fix-it: KLIK.

 

5. Zrób nowy log z OTL, ale na ograniczonych ustawieniach: tylko opcję Rejestr (nie pomyl z "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

 

 

.

[reko44]

Dzięki wielkie za pomoc. Błąd już się nie pojawia

 

OTL.Txt

[picasso]

Zrobione. Przed zadaniem końcowych kroków mam pytanie. Jest tu wykryte potwornie stare Google Chrome w wersji 12.0.742.122. Jest zaśmiecone i miałam zadać jego deinstalację ogólną nie trudząc się wcale z czyszczeniem (bez sensu):

 

 

========== Chrome ==========

 

CHR - default_search_provider: Claro Search (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - homepage: http://www.google.com/

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\gcswf32.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Java Deployment Toolkit 6.0.300.12 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll

CHR - plugin: Java™ Platform SE 6 U30 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll

CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\np-mswmp.dll

CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFFICE.DLL

CHR - plugin: Microsoft Office Live Plug-in for Firefox (Enabled) = C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll

CHR - plugin: Zylom Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npzylomgamesplayer.dll

CHR - plugin: Google Update (Enabled) = C:\Users\Damian\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll

CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll

CHR - plugin: Windows Live\u00AE Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

 

 

Ale mówiłeś: "już postarałem się po odinstalowywać niepotrzebne programy". Sprecyzuj czy w skład owych wchodziło Google Chrome, bo to ma wpływ na podanie stosownych instrukcji.

 

 

.

[reko44]

Google Chrome zostało całkowicie odinstalowane. Jeżeli będzie potrzebne, to "może" zainstaluje. Jeszcze raz dziękuję

[picasso]

To teraz należy wyczyścić po Google Chrome, bo to co cytuję w spoilerze pochodzi z ostatniego raportu (czyli to stan po deinstalacji).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Damian\AppData\Local\Google
C:\Program Files (x86)\Google
 
:Reg
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}]

 

Klik w Wykonaj skrypt.

 

2. Wklej do posta wynikowy log z usuwania. Nowy skan OTL nie jest potrzebny.

 

 

 

.

[reko44]

Log z usuwania: http://wklej.org/id/1045691/

Dziękuję

[picasso]

Zadanie pomyślnie wykonane. Możemy kończyć:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę usuń ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń starą wtyczkę Adobe i wszystkie Java (luki prowadzące do tej infekcji), zaktualizuj Firefox i cały Windows: KLIK. Wg raportu Windows 7 zupełnie nieaktualizowany (brak SP1+IE9 lub IE10) oraz są wersje:

 

64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

 

Dodatkowo, widzę stare Gadu-Gadu 10. Czas tego potwora wymienić. Albo najnowsze GG11 (jest nieco lepsze), albo alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK.

 

 

 

.