RunDLL Nie można odnaleźć określonego modułu

[Aidan]

Podczas uruchamiania windowsa wyskakuje mi taki Komunikat:

RunDLL

Wystąpił problem podczas uruchamiania pliku

hxxp://tsmk.no-ip.biz:3333

Nie można odnaleźć określonego modułu.

 

Załączam raporty z FRST i OTL

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

[picasso]

Jest tu infekcja, fałszywy "Adobe" w starcie (plik skryptu VBS). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\ProgramData\Adobe\Run.exe
() C:\ProgramData\Adobe\start.exe
(Microsoft Corporation) C:\Windows\SysWOW64\cmd.exe
HKLM-x32\...\Run: [Adobe] - C:\ProgramData\Adobe\Color.vbs [101 2013-12-11] ()
ProxyServer: 211.239.84.244:443
S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [x]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [x]
Task: {714214AB-56D8-4DF8-829A-FBBF179F00CE} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe
C:\ProgramData\Adobe\Color.vbs
C:\ProgramData\Adobe\Run.exe
C:\ProgramData\Adobe\start.exe
Folder: C:\ProgramData\Adobe
C:\Users\Leszek\AppData\Roaming\mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Wygląda na to, że odinstalowałeś AVG PC TuneUp 2014, ale są na liście zainstalowanych ukryte takie oto wpisy:

 

==================== Installed Programs ======================
 

AVG PC TuneUp 2014 (pl-PL) (x32 Version: 14.0.1001.229 - AVG) Hidden

AVG PC TuneUp 2014 (x32 Version: 14.0.1001.229 - AVG) Hidden

 

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście oba wpisy > Dalej.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition) i Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

 

.

[Aidan]

Gdy próbuję to wykonać:

 

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście oba wpisy > Dalej.

 

wyskakuje mi taka odpowiedź: http://support.microsoft.com/mats/Program_Install_and_Uninstall

 

Problem został usunięty dziękuję

Fixlog.txt

FRST.txt

FSS.txt

[picasso]

Gdy próbuję to wykonać (...) wyskakuje mi taka odpowiedź

Ale kiedy to Ci się pokazuje? Podałeś link do strony, na której trzeba kliknąć w przycisk uruchomienia, co spowoduje pobranie programu na dysk.

 

Tu jeszcze nie koniec zadań, ale najpierw wyjaśnijmy nieścisłość z powyższym.

 

 

 

.

[Aidan]

Pokazuje mi się to zaraz po kliknięciu w zewnętrzny odnośnik. Pod przyciskiem uruchom teraz z tej strony, widnieje napis: Niestety, poprawki automatyczne Microsoft Fix it nie obsługują obecnie tego systemu operacyjnego.

[picasso]

Rzeczywiście, narzędzie nie jest kompatybilne z Windows 8.1. W takim układzie odblokuję widoczność wpisów i spróbujesz ręcznie odmontować. Poza tym, jeszcze są inne poprawki do wdrożenia (w katalogu Adobe większa ilość plików infekcji). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\Adobe\libblkmaker-0.1-0.dll
C:\ProgramData\Adobe\libblkmaker_jansson-0.1-0.dll
C:\ProgramData\Adobe\libcurl-4.dll
C:\ProgramData\Adobe\libeay32.dll
C:\ProgramData\Adobe\libiconv2.dll
C:\ProgramData\Adobe\libintl3.dll
C:\ProgramData\Adobe\libjansson-4.dll
C:\ProgramData\Adobe\libssl32.dll
C:\ProgramData\Adobe\libusb-1.0.dll
C:\ProgramData\Adobe\pdcurses.dll
C:\ProgramData\Adobe\phatk121016.cl
C:\ProgramData\Adobe\poclbm130302.cl
C:\ProgramData\Adobe\pthreadGC2.dll
C:\ProgramData\Adobe\scrypt130511.cl
C:\ProgramData\Adobe\scrypt130511IntelRHDGraphics4000glg2tc3392w256l4pOpenCL1_2.bin
C:\ProgramData\Adobe\wget.exe
C:\ProgramData\Adobe\zlib1.dll
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} /v SystemComponent /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CAE6A349-4796-4090-A536-20AA72DD6DC8} /v SystemComponent /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wejdź do Panelu sterowania, na liście zainstalowanych programów powinny się pokazać dwa wpisy "AVG PC TuneUp 2014". Spróbuj je odinstalować.

 

3. Masz za dużo antywirusów: avast! Free Antivirus + AVG 2014. Jeden z nich do deinstalacji.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.

[Aidan]

Pojawiły się wpisy w liście zainstalowanych programów, jednak nie mogę ich odinstalować.

Pozbyłem się AVG, który zainstalowałem na próbę.

[picasso]

Nie przedstawiłeś pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dołącz.

 

Pojawiły się wpisy w liście zainstalowanych programów, jednak nie mogę ich odinstalować.

Jaki błąd? W związku z tym należy wypiąć te wpisy ręcznie ze struktury Instalatora Windows. Najszybciej pójdzie mi diagnostyka na kompletnej kopii rejestru. Podczas pierwszego uruchomienia zrzucił ją FRST. Spakuj do ZIP plik C:\FRST\Hives\SOFTWARE, shostuj gdzieś i prześlij mi na PW link do paczki. Nie obiecuję szybkiego wdrożenia tego, jest to bardziej czasochłonne.

 

 

.

[picasso]

Uściśliłeś na PW: "W panelu sterowania nie pojawia mi się w ogóle opcja odinstaluj." Te wpisy mają ustawioną opcję NoRemove (również NoModify i NoRepair). Usunę NoRemove i spróbujesz ponowić deinstalację w naturalny sposób:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} /v NoRemove /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CAE6A349-4796-4090-A536-20AA72DD6DC8} /v NoRemove /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Sprawdź czy opcja "Odinstaluj" się ujawniła.

 

 

.

[Aidan]

Udało się wszystko odinstalować.

Bardzo mocno dziękuję za pomoc

[picasso]

Na zakończenie:

 

1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Skoryguj sytuację w antywirusach, Avast + AVG 2014 to za dużo, jeden z nich do deinstalacji.

 

 

 

.

[Aidan]

Podczas gdy próbuję otworzyć jakikolwiek plik *.pdf wyświetla mi się komunikat 

************************

Aplikacja nie została uruchomiona.

 

Zaczeło mi się tak dziać po naprawieniu błędów z zainfekowanym Adobe rundll.exe

 

Dolączam raporty OTL, FRST i GMER

 

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

GMER.txt

[picasso]

Tematy zostały połączone, gdyż jest to tak jakby kontynuacja. Dla uściślenia: poprzednio były czyszczone fałszywe elementy wstawione do folderu Adobe, a nie Adobe. I tu nie było pliku "rundll.exe".

 

W nowych logach nic nie ma, tylko jedna niejasność: widać świeżo utworzone na dysku obiekty AVG PC TuneUp 2014 (to było przecież deinstalowane) = czy była tu jakaś reinstalacja?

 

Opisz skąd uruchamiasz PDF: czy chodzi o jakąś wewnętrzną przeglądarkę PDF któregoś programu (Google Chrome, Office)? Pytam, gdyż na liście zainstalowanych programów nie ma żadnej indywidualnej przeglądarki PDF (np. Adobe Reader, Foxit Reader, Sumatra PDF) widocznej jako zainstalowana.

 

 

.

[Aidan]

Programy AVG wszystkie tylko odinstalowałem. Nie robiłem ponownej instalacji.

 

Pliki PDF otwieram za pomocą narzędzia windows "Czytnik". Do tej pory otwierały się bez zarzutu więc nie instalowałem żadnego dodatkowego programu.

[picasso]

Proponuję zacząć od przeinstalowania aplikacji "Czytnik" Windows 8.1.

 

 

PS. Doczyść szczątki tego magicznie odtworzonego TuneUp. Otwórz Notatnik i wklej w nim:

 

U2 UxTuneUp; C:\Windows\System32\uxtuneup.dll [42808 2013-10-30] (AVG)
C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\ProgramData\AVG
C:\ProgramData\MFAData
C:\WINDOWS\system32\authuitu.dll
C:\WINDOWS\SysWOW64\authuitu.dll
C:\WINDOWS\system32\TURegOpt.exe
C:\WINDOWS\system32\uxtuneup.dll
C:\WINDOWS\SysWOW64\uxtuneup.dll
C:\Users\Leszek\AppData\Local\MFAData
C:\Users\Leszek\AppData\Roaming\AVG
C:\Users\Leszek\AppData\Roaming\TuneUp Software

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[Aidan]

Postanowiłem zrobić przywracanie systemu bo coraz więcej różnych małych błędów się zaczeło pojawiać. Np nie mogłem nic wysłać z laptopa przez bluetooth. Dziękuję za pomoc

[picasso]

Przywracanie systemu to bardzo mocny proces, co oznacza, że wszystko co było usuwane mogło powrócić na miejsce. Nie wiem do jakiego czasu cofnąłeś system. W związku z tym poproszę o nowy komplet wszystkich obowiązkowych logów.

[Aidan]

Oto nowe logi OTL I FRST

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

W raportach nie widać oznak infekcji, nie ma też za bardzo czym się zajmować. Dwie drobne akcje:

- Zresetuj cache wtyczek Google Chrome wg wcześniej podanego przepisu via chrome://plugins, bo widać puste wpisy.

- Przez SHIFT+DEL skasuj OTL, FRST oraz folder C:\FRST.

 

Temat uznaję za zakończony. Zamykam.

 

 

.