wgsdgsdgdsgsd.exe - błąd podczas ładowania - nie można odnaleźć modułu

[23cara23]

Witam,

 

Jako kolejny użytkownik mam problem z odnalezieniem modułu wgsdgsdgdsgsd.exe.

 

Po uruchomieniu komputera pojawia się komunikat:

 

"Wystąpił problem podczas uruchamiania pliku

C:\Users\Alexis\AppData\Lokal\Temp\wgsdgsdgdsgsd.exe

Nie można odnaleźć określonego modułu."

 

Proszę o pomoc w usunięciu problemu z rozbudowanym opisem kolejnych czynności do wykonania, ponieważ jestem laikiem jeśli chodzi o takie przypadłości mojego komputera.

 

Nie bardzo rozumiem o co chodzi z oprogramowaniem emulującym napędy o którym pisze picasso i jak je rozpoznać.

 

Poniżej załączam pliki.

 

 

Z góry dziękuję i pozdrawiam

Addition.txt

FRST.txt

[picasso]

Posty sklejam doprowadzając do pożądanej formy. Sprawa emulatorów jest przecież wyjaśniona w ogłoszeniu: KLIK. Dostarczony zestaw raportów FRST niekompletny - brak pliku Shortcut. Wracając do tytułowego błędu, problem tworzy wpis infekcji uruchamiany w starcie:

 

Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation)

 

Prócz tego są inne rzeczy do korekty (puste wpisy, odpadki adware). Przeprowadź następujące działania:

 

1. Odinstaluj stare wersje: Adobe Flash Player 15 ActiveX, Adobe Reader X (10.1.12), Adobe Shockwave Player 11.6.

 

2. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
CustomCLSID: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000_Classes\CLSID\{6d05bf60-3eaf-4a97-87c5-10cce505435b}\localserver32 -> C:\Users\Alexis\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe No (the data entry has 5 more characters).
Task: {3B7887C4-B5E7-4CC9-A809-35205CC7B408} - System32\Tasks\{CDD6B537-5127-439A-B473-D2519696A61F} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{B406605B-45FE-4D8F-8250-1E77479583AE}
Task: {4C3F8F18-946A-4D72-855E-CF8A231CEE6E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe
Task: {536606F6-13CE-495D-A6AC-CFE687145D64} - System32\Tasks\{45B8CDEC-6D7F-4B95-9336-DA85BD94F99B} => pcalua.exe -a C:\Users\Alexis\Downloads\sp42568.exe -d C:\Users\Alexis\Downloads
Task: {AA352EE5-79BC-4776-8623-13D9F5B416CA} - System32\Tasks\{A4910BF1-AD67-4A16-BA6D-899AE2C9C7B1} => pcalua.exe -a "C:\Users\Alexis\Downloads\Zoo Tycoon 2 PL.exe" -d C:\Users\Alexis\Downloads
Task: {AE4E333F-A1D2-4309-8A00-4350B7C7FC05} - System32\Tasks\{3A463E5A-48AD-49D6-81E4-6115A076D8E2} => pcalua.exe -a "E:\Sterownik Validity Fingerprint Sensor.exe" -d E:\
Task: {B00FBE50-15CC-42F5-AABA-8697523B3A20} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\FirefoxExt
FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Alexis\AppData\Roaming\Mozilla\Firefox\Profiles\qkbemnt4.default\extensions\fftoolbar2014@etech.com
FF HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\firefoxext
S2 Update Dynamo Combo; "C:\Program Files\Dynamo Combo\updateDynamoCombo.exe" [X]
U4 NMIndexingService; No ImagePath
C:\Program Files\XTab
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\lsass.exe
C:\ProgramData\Norton
C:\Users\Alexis\AppData\Local\Google
C:\Users\Alexis\AppData\Local\NPE
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f
Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Toolbar" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, tytułowy błąd powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by uzupełnić brakujący log. Dołącz też plik fixlog.txt.

[23cara23]

Na początek dziękuję za okazaną chęć pomocy.

 

Przepraszam za brak zrozumienia obszernie wyjaśnionych  zagadnień, ale widocznie moja "blond łepetyna" nie potrafii tego pojąć.   A także za niezałączenie pliku Shortcut ponieważ nie wiedziałam, iż musi być coś więcej.

 

Po wykonaniu powyższych czynności z punktu 2, okno błędu już nie wyskakuje.

Ze wszystkich wymienionych programów do odinstalowania, nie mogłam odnaleźć i odinstalować tylko: Adobe Flash Player 15 ActiveX.

 

Poniżej załączam pliki.

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Ze wszystkich wymienionych programów do odinstalowania, nie mogłam odnaleźć i odinstalować tylko: Adobe Flash Player 15 ActiveX.

Nastąpiła zmiana i obecnie jest już najnowsza wtyczka ActiveX dla Internet Explorer:

 

==================== Installed Programs ======================
 

Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.257 - Adobe Systems Incorporated)

 

Zadania pomyślnie wykonane. Tylko drobne korekty:

 

1. Napraw uszkodzony specjalny skrót Internet Explorer:

 

Shortcut: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
CMD: del /q "C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

[23cara23]

Wyrazy uznania dla posiadanej wiedzy i umiejęności bo przyznam szczerze, że dla mnie to czarna magia

 

Po wykonaniu fixlog'a mój antywirus zaczął wariować i wyświetlać jakieś zagrożenia, nie wiem czy to normalne.

 

Poniżej załączam plik.

Fixlog.txt

[picasso]

Zadanie wykonane, ale dopiero teraz zauważyłam, że jest coś nie tak ze ścieżką specjalnego folderu Pobrane:

 

Running from C:\Users\Alexis\Application Data\Downloads

 

Kolejny skan. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s
CMD: dir /a C:\Users\Alexis

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[23cara23]

Zgodnie z zaleceniem wykonane.

 

Poniżej umieszczam plik.

Fixlog.txt

[picasso]

Folder Pobrane nie jest poprawnie zdefiniowany. Korekta:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\Alexis\\Downloads"
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\
50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\
00,6c,00,6f,00,61,00,64,00,73,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system. Windows powinien wygenerować katalog w poprawnym miejscu, tzn: C:\Users\Alexis\Downloads. Stary folder C:\Users\Alexis\Application Data do skasowania, przed usunięciem przenieś z niego wszystkie pliki w jakieś inne miejsce.

[23cara23]

Po wykonaniu powyższych czynności jeden z folderów "pobieranie" zniknął. Wszystkie pliki przeniesione zgodnie z zaleceniem.
 

Dziękuję serdecznie za pomoc i życzę dalszych sukcesów w rozwiązywaniu problemów.

 

Pozdrawiam

[picasso]

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[23cara23]

Zgodnie z zaleceniami w temacie dotyczącymi DelFix zamieszczam loga.

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku pik C:\Delfix.txt.

 

Temat rozwiązany. Zamykam.