Problem z plikiem wgsdgsdgdsgsd.exe przy starcie (kolejny przypadek)

[kolo]

Cześć,

 

Picasso, 9 lat temu prowadziłaś mnie jak za rękę przez ciemny las zachwaszczenia na komputerze (ech, dzikie czasy akademikowego korzystania z Internetu...). Doświadczenie było tak dojumujące (2 miesiące, 133 odpowiedzi, 9 podstron, nie było żartów), że zapamiętałem i wracam właśnie do Ciebie. To tytułem wstępu.

 

1. Znowu ten sam temat pliku wgsdgsdgdsgsd.exe, widzę, że kilka dni temu też ktoś z tym był. Mam pamiątkę chyba po wizycie pana policjanta na moim ekranie. Już ze 2 lata, ale ten komunikat (że nie może otworzyć pliku i że brak określonego modułu) wciąż się włącza przy starcie. Niby zauważalnie nic złego się nie dzieje, ale rozumiem, że może tylko pozornie... Chciałbym się tego pozbyć i zapytać, czy nic tam jeszcze innego złego nie ma.

 

Log z GMER robiłem przy wyłączonym AVG i pozamykanych programach (ale przy zaporach Windowsa nic nie robiłem, jeśli to ma jakieś znaczenie).

 

2. Przy okazji chcę zapytać o inną rzecz. Pewnie nie jest związana z powyższym, może spoza kompetencji, ale być może po wpisach w logach coś się zobaczy. Mam zewnętrzną kartę dźwiękową - E-MU 0204. Mianowicie raz na jakiś czas zaiwesza się odbiór dźwieku - czy to Winamp, czy np. YouTube. Wtedy muszę wyłączyć i ponownie włączyć kartę dźwiękową oraz - to konieczne - odświeżyć rzecz do odsłuchu (czyli od nowa wpisać listę do odtwarzania do Winampa czy odświeżyć dana stronę internetową). Masz (macie) może pomysł, co może być przyczyną? Nic z tym nie robiłem, może powinienem odinstalować i zainstalować aplikację E-MU z płyty jeszcze raz?

 

Pozdrawiam, dzięki.

 

Załączniki:

 

FRST (x3)

OLT (x2)

GMER (x1)

 

FRST.txt

Shortcut.txt

Addition.txt

OTL.Txt

Extras.Txt

log z GMER pełny.txt

[picasso]

Tytułowy błąd produkuje obiekt infekcji "policyjnej", który notabene uruchamia się pomyślnie (w procesach jest sfałszowany C:\ProgramData\lsass.exe). Przyczyna infekcji to przestarzała Java. Prócz tego jeszcze są różne odpadki adware tu i ówdzie.

 

 

Przy okazji chcę zapytać o inną rzecz. Pewnie nie jest związana z powyższym, może spoza kompetencji, ale być może po wpisach w logach coś się zobaczy. Mam zewnętrzną kartę dźwiękową - E-MU 0204. Mianowicie raz na jakiś czas zaiwesza się odbiór dźwieku - czy to Winamp, czy np. YouTube. Wtedy muszę wyłączyć i ponownie włączyć kartę dźwiękową oraz - to konieczne - odświeżyć rzecz do odsłuchu (czyli od nowa wpisać listę do odtwarzania do Winampa czy odświeżyć dana stronę internetową). Masz (macie) może pomysł, co może być przyczyną? Nic z tym nie robiłem, może powinienem odinstalować i zainstalować aplikację E-MU z płyty jeszcze raz?

Jeśli po wyczyszczeniu infekcji nie ustąpią objawy, załóż nowy temat w dziale Hardware. Wspomnę tylko, że oprogramowanie E-MU jest relatywnie stare i może należy poszukać aktualizacji:

 

==================== Registry (Whitelisted) ==================
 

HKU\S-1-5-21-474559410-1312325989-2775129271-1000\...\Run: [E-MU USB Audio Control Panel] => C:/Program Files (x86)/Creative Professional/E-MU USB Audio/EmuUsbAudioCP.exe [319488 2010-11-11] (E-MU Systems)
 

==================== Services (Whitelisted) =================
 

R2 emaudsv; C:\Windows\system32\emaudsv.exe [26624 2010-11-12] (E-MU Systems)
 

==================== Drivers (Whitelisted) ====================
 

R3 emusba10; C:\Windows\System32\DRIVERS\emusba10.sys [219096 2010-11-12] (E-MU Systems)

 

Dodatkowo, w Dzienniku zdarzeń widzę taki oto błąd:

 

System errors:

=============

Error: (09/21/2014 10:33:03 AM) (Source: Ntfs) (EventID: 137) (User: )

Description: Domyślny menedżer zasobów transakcji w woluminie I: napotkał błąd niepowtarzający operacji i nie można go uruchomić. Dane zawierają kod błędu.

 

Nie wiem do czego to podpiąć, ale zadam komendę fsutil, która może pomóc usunąć błąd.

 

 

---

Wstępnie wykonaj następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation)
URLSearchHook: HKCU - (No Name) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No File
SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
SearchScopes: HKCU - DefaultScope {3D0ADA0E-CF63-448F-AD14-702B047A72B2} URL = http://search.avg.com/route/?d=4dbacf3a&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
SearchScopes: HKCU - {3D0ADA0E-CF63-448F-AD14-702B047A72B2} URL = http://search.avg.com/route/?d=4dbacf3a&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
Toolbar: HKLM-x32 - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X]
S3 IT9135BDA; System32\Drivers\IT9135BDA.sys [X]
Task: {3CBB3667-DC99-4631-BD03-074E49EC8722} - System32\Tasks\{5A0AA3BC-A62E-40ED-AF4D-6926C40CC4CB} => C:\Program Files\Winamp\winamp.exe
Task: {4BE6768F-F669-4D76-9BBA-AFE72B5AE18A} - System32\Tasks\ROC_REG_JAN_DELETE => C:\ProgramData\AVG January 2013 Campaign\ROC.exe [2013-01-16] ()
Task: {F9871E36-DE70-4DCE-9279-CF27F28FB4A0} - System32\Tasks\{0BA92086-42AB-4578-B486-F46535931108} => C:\Program Files\Winamp\winamp.exe
Task: C:\Windows\Tasks\ROC_REG_JAN_DELETE.job => C:\ProgramData\AVG January 2013 Campaign\ROC.exe
C:\Program Files (x86)\Mozilla Firefox.bak
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\ProgramData\TEMP
C:\Users\Grzegorz\Firefox Setup 4.0.1.exe
C:\Users\Grzegorz\AppData\Roaming\jaws
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {A3BC75A2-1F87-4686-AA43-5347D756017C} /f
CMD: fsutil resource setautoreset true c:\

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, błąd nie powinien się już pojawić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj starocie: Adobe Reader X (10.0.1), Adobe Shockwave Player 11.6, AVG 2012, Java™ 6 Update 39.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

 

 

 

 

 

.

[kolo]

1. Zrobiłem chyba wszystko. Komunikat o problemie z plikiem z tytułu już się nie pojawia przy starcie. Załączam logi, chyba wszystkie potrzebne.

 

2. Odinstalowałem AVG 2012 (choć była opcja z aktualizacją do AVG 2015, ale dostosowałem się do polecenia). Jestem bez antywirusa. Czy polecasz zatem AVG 2015? Coś innego darmowego do postawowej, ale możliwie najszerszej ochrony?

 

3. Jeszcze nie akutalizowałem dźwiękowej E-MU, ale poszukam i jak znajdę, to to uczynię. Dzięki.

Fixlog_21-09-2014_23-54-37.txt

FRST_22-09-2014_00-28-50.txt

[picasso]

Nazwy dostarczonych plików FRST sugerują, że je wyciągałeś z folderu C:\FRST\Logs. Bieżący log jest zawsze nagrywany w miejscu z którego uruchomiono FRST, czyli w tym przypadku C:\Users\Grzegorz\Downloads\FRST. Natomiast C:\FRST\Logs to archiwum logów, owszem najnowszy też jest zarchiwizowany, ale nie ma potrzeby go stamtąd wyciągać. I dostarczyłeś mi stary nieświeży Addition (usuwam), miałeś zrobić ten log ponownie...

 

Zadania wykonane. Poprawki i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_39 -> C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.)
C:\$AVG
C:\ProgramData\AVG2012
C:\ProgramData\MFAData
C:\Users\Grzegorz\AppData\Local\Avg2015
C:\Users\Grzegorz\AppData\Roaming\TuneUp
C:\Windows\system32\Drivers\AVG
RemoveDirectory: C:\Users\Grzegorz\Desktop\Stare dane programu Firefox
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt.

 

 

Odinstalowałem AVG 2012 (choć była opcja z aktualizacją do AVG 2015, ale dostosowałem się do polecenia). Jestem bez antywirusa. Czy polecasz zatem AVG 2015? Coś innego darmowego do postawowej, ale możliwie najszerszej ochrony?

Tym zajmiemy się na końcu. Zadałam deinstalację a nie aktualizację, gdyż była tu stosunkowo stara wersja i uważam, iż lepiej instalować "na czysto" niż systemem nakładkowym.

 

 

 

.

[kolo]

Przepraszam za błędy, nie doczytałem, że program nadpisuje nowe logi pod tą samą nazwą...

 

Załączam wynikowy fixlog.txt oraz nowe FRST i Addition (nie mam pojęcia, czemu wtedy dałem stary plik; za to tylko nadmienię, że teraz przy opcji fix w FRST - po wklejeniu do notatnika i zapisaniu fixlist.txt - nie zaznaczałem w tym samym oknie opcji Addition (zostawiłem takie zaznaczenia, jakie były); natomiast zaznaczyłem opcję Addition teraz przy skanowaniu; mam nadzieję, że to dało aktualny (w załączeniu) zczyt z komputera).

 

Jedna zaistniała w trakcie tych działań kwestia: Firefox-Google nie odpalił mi strony, która wcześniej i za każdym razem mi się wczytywała. Zamiast niej mam tablicę od Googla z Ostrzeżeniem po polsku (i dalej "odwiedzenie tej strony internetowej może mieć szkodliwy wpływ na Twój komputer"). Dalej dostęp do jakichś statystyk z przeszłości mówiących, że strona ta wywoływała pewnego rodzaju zagrożenia, itp. Nie ma nigdzie żadnej opcji zapisania tej strony jako wyjątku i pominięcie tego komunikatu (nigdy ta strona nie szkodziła mi na komputerze, czytaj: AVG mnie nigdy nie informował o niczym, kiedy na nią wchodziłem, a bywało w przypadkach innych stron, że informował; chętnie dałbym ją do wyjątków). Ale moje pytanie - czy pojawienie się tej tablicy Googla z ostrzeżeniem (pierwszy raz chyba ją widzę) to wynik:

 

- wcześniejszego zresetowania programu Firefox;

- odinstalowania antywirusa;

- czegoś innego?

 

PS. Aha, co czyści zresetowanie programu Firefox, bo nie widzę np. Adblocka (?). Czy to któryś z wpisów do notatnika jest za to odpowiedzialny?

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

za to tylko nadmienię, że teraz przy opcji fix w FRST - po wklejeniu do notatnika i zapisaniu fixlist.txt - nie zaznaczałem w tym samym oknie opcji Addition (zostawiłem takie zaznaczenia, jakie były); natomiast zaznaczyłem opcję Addition teraz przy skanowaniu; mam nadzieję, że to dało aktualny (w załączeniu) zczyt z komputera).

Te opcje są relatywne tylko do funkcji Scan. Fix w ogóle nie ma związku z nimi i ich układ nie ma znaczenia.

 

 

PS. Aha, co czyści zresetowanie programu Firefox, bo nie widzę np. Adblocka (?). Czy to któryś z wpisów do notatnika jest za to odpowiedzialny?

vs.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

Skrypt FRST nie ma związku z tym, to wynik resetu Firefox. Co robi reset: KLIK. Wszystkie niedomyślne rozszerzenia zostały usunięte i należy je przeinstalować. Stosuję reset Firefox przy zaledwie kilku niedomyślnych rozszerzeniach, gdyż reset jest najlepszą metodą odtworzenia czystych preferencji, logi są jednak zbyt ograniczone i pokazują tylko niektóre modyfikacje z prefs.js.

 

 

Jedna zaistniała w trakcie tych działań kwestia: Firefox-Google nie odpalił mi strony, która wcześniej i za każdym razem mi się wczytywała. Zamiast niej mam tablicę od Googla z Ostrzeżeniem po polsku (i dalej "odwiedzenie tej strony internetowej może mieć szkodliwy wpływ na Twój komputer"). Dalej dostęp do jakichś statystyk z przeszłości mówiących, że strona ta wywoływała pewnego rodzaju zagrożenia, itp.

Co to konkretnie za strona? Podaj adres. A prowadzone działania nie mogły wpłynąć na "stworzenie" tego typu komunikatu. O ile to prawdziwy komunikat, jest on zależny od wyszukiwarki Google, która na podstawie określonego raportu blokuje witrynę (np. wykryty szkodliwy kod wklejkowy etc.)

 

 

Jeśli chodzi o poprzednie zadania, to pomyślnie wykonane. Kolejna porcja czynności:

 

1. Usuń ręcznie z folderu Pobrane wszystkie użyte skanery, a następnie popraw przy udziale DelFix.

 

2. Zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś wykryje, dostarcz raport.

 

 

 

 

.

[kolo]

1. Usuń ręcznie z folderu Pobrane wszystkie użyte skanery, a następnie popraw przy udziale DelFix.

 

Czy chodzi o same pliki uruchamiające te aplikacje, czy także o zapisane logi, fixlogi, fixlisty? Nie ukrywam, że chciałbym sobie zachować te pliki txt. Czy potem DelFix sam usunie także pliki txt (jeśli ja tego nie zrobię)?

 

 

Co do strony z ostrzeżeniem Googla - na innym komputerze jest to samo, czyli akurat się zgrało z tymi naszymi tutejszymi czynnościami i się zasugerowałem, że ma to związek, ale - jak widzę - to ogólny temat. Jest to strona z linkami do przechwyconych przekazów na żywo z imprez sportowych, także w sumie się nie dziwię...

[picasso]

Czy chodzi o same pliki uruchamiające te aplikacje, czy także o zapisane logi, fixlogi, fixlisty? Nie ukrywam, że chciałbym sobie zachować te pliki txt. Czy potem DelFix sam usunie także pliki txt (jeśli ja tego nie zrobię)?

Chodzi o usunięcie wszystkiego co pobrałeś + logów, które są w ręcznie stworzonych podfolderach w Pobieraniu, gdyż DelFix nie stosuje skanu rekursywnego, kasuje tylko z głównego folderu Pobrane czy Pulpit. Fixlist i fixlog: nie wiem po co chcesz trzymać te pliki, one są jednorazowe i nie można ich już ponownie wykorzystać (zmiany konfiguracyjne).

 

 

 

.

[kolo]

Fixlist i fixlog: nie wiem po co chcesz trzymać te pliki, one są jednorazowe i nie można ich już ponownie wykorzystać (zmiany konfiguracyjne).

 

Nie tyle fixlist i fixlog, co chciałem wynotować z tego podstawowego, pierwszego loga z FRST, jakie nakładki mi z Firefoxa uciekły (oprócz Adblocka, którego pamiętam i którego brak odrazu zauważyłem). Ale OK, już to zrobiłem.

 

Wykasowałem wszystko ręcznie z pobranych.

 

Zastosowałem DelFix i Malwarebytes... Oto raporty:

DelFix.txt

Malwarebytes Anti-Malware - raport.txt

[picasso]

Nie tyle fixlist i fixlog, co chciałem wynotować z tego podstawowego, pierwszego loga z FRST, jakie nakładki mi z Firefoxa uciekły (oprócz Adblocka, którego pamiętam i którego brak odrazu zauważyłem). Ale OK, już to zrobiłem.

FF Extension: Flash Video Downloader - YouTube Full HD Download - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\artur.dubovoy@gmail.com [2014-08-02]

FF Extension: DownloadHelper - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2014-09-06]

FF Extension: Iplex to ALLPlayer - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\IplextoALL@ALLPlayer.org.xpi [2011-11-14]

FF Extension: Eliminator Slajdów - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi [2013-01-22]

FF Extension: Adblock Plus - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012-11-16]

 

Jeśli chodzi o wyniki MBAM: RiskWare.Tool.CK to crack do Office (do ominięcia), a reszta to szczątki adware i downloadery je wprowadzające (usuń). Do czytania też ten materiał: KLIK. I finalizacja spraw:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zainstaluj wybranego antywirusa. Ten najnowszy AVG 2015 może być, ale przy instalacji omiń instalację paska typu "AVG Secure Search" lub coś brzmiącego podobnie. Była tu także infekcja związana z eksploitami Java, proponuję więc też uzupełnienie w postaci darmowej wersji Malwarebytes Anti-Exploit.

 

 

 

.

[kolo]

Dzięki za spis nakładek.

 

Wykonałem te polecenia. Zainstalowałem AVG 2015. Bardzo uważałem na ich własną wyszukiwarkę, jak zwykle przy tego typu instalacjach wybrałem nie opcję automatyczną, ale tzw. "zaawansowaną", gdzie samemu wybiera się elementy do instalacji, ale szczerze mówiąc nie widziałem tam nigdzie opcji z wyszukiwarką. Były 4 kwadraciki do zaznaczenia, czego ma dotyczyć ochrona, ale nic mi tam nie wyglądało podejrzanie czy jako oferowanie opcji ponad miarę i uszczęśliwianie użytkownika na siłę, dlatego zaznaczyłem wszystkie 4 kwadraciki (Komputer, Sieć WWW, Tożsamość, Poczta email). Nie wiem, mam nadzieję, że ta wyszukiwarka nigdzie się znienacka nie objawi (a że jest, to zauważyłem na początku ściągania aplikacji z ich strony, bo uczciwie pokazują na stronie pod lupą tę opcję na dolnym pasku i jest odnośnik linkowy do strony, jak odinstalować wyszukiwarkę; ale przy instalacji nigdzie jej nie było).

 

Co do Malwarebytes Anti-Exploit to - jak rozumiem i zauważyłem - to sobie stale chodzi w tle i nic nie trzeba skanować przez specjalne naciśnięcie czegoś, tak?

[picasso]

Co do Malwarebytes Anti-Exploit to - jak rozumiem i zauważyłem - to sobie stale chodzi w tle i nic nie trzeba skanować przez specjalne naciśnięcie czegoś, tak?

Tak, to płaszcz chodzący na automacie. W konfiguracji tylko decydujesz który komponent ma być chroniony.

[kolo]

Zatem chyba koniec zadania. Wielkie dzięki, poczytam sobie jeszcze te podpięte tematy w różnych działach (w ogóle bardzo dobrze korzysta się z całej strony). A w ogóle niezmiernie miło było zobaczyć, że po tylu latach robisz nadal to, co tutaj robisz. Szacunek.