Errory w RegSvr32 przy starcie windows

OverTheCuckoosNest · 1 Stycznia 2017

Witam serdecznie po sylwestrowej nocy, problem wypisany w temacie mam od 2 dni, ale jakoś nie miałem głowy wcześniej o tym pisać. Przy starcie windows widnieje error, a właściwie to chyba nie zawsze jest ten sam, choć zawsze chodzi o plik regsvr32. Włączony malwarebytes co minutę-dwie pokazuje komunikat o tym, że coś zablokował i wypisanym źródłem jest właśnie plik regsvr32. Zablokowałem jeszcze ten plik przez firewall(o tym gdzieś wyczytałem, żeby nie było że coś się znam), ale te komunikaty dalej wyskakują.

Wszystko to stało się przez moją chwilę głupoty, gdyż zirytowałem się komunikatami o nieoryginalnym systemie co robiło mój ekran czarnym i minimalizowało mi wszystko co użytkowałem. Tak więc ściągnąłem remove wat(widocznie z niefajnego źródła) no i wtedy się zaczeła tzw. impreza, gdyż wszystko latało, migało, włączyło się cmd i tam też literki i jakieś ładowane procenty szalały, finalnie robiąc mi z komputera mieszankę taką jak szampan mieszany z Żołądkową Gorzką wydalony z jamy ustnej w niewyjaśnionych okolicznościach. Czy na to zasłużyłem używając tymczasowo nieoryginalnej wersji? Oczywiście, ale i tak proszę o pomoc, to pierwszy i ostatni raz, obiecuje.

Adwcleaner na początku wyczyścił około 40 zagrożeń, potem użyłem jeszcze Malwarebytes i po przeskanowaniu i restarcie komputera z tym związanym, było dalej zamieszanie. Do tego uszkodziło mi się ponowne użycie Adwcleaner, gdyż wyskakuje błąd. Pamiętam jeszcze uruchamiałem cmd i wpisywałem tam sfc /scannow, nie wiem o co chodzi gdzieś to wyczytałem. Ważne jest, że po tym wszystkim bylo tam napisane, że odnaleziono problemy aczkolwiek niektórych nie dało się naprawić. A i jeszcze wyczytałem, że za tym regsvr kryje się jakaś poważna luka będąca bramką dla cyberprzestępców, napisali tam że jedyne co da się zrobić to zablokować to w firewallu, to prawda że nic innego się nie da zrobić?

Jeszcze malwarebytes jak skanowałem po raz kolejny znow wykrył jakies zagrożenia, tym razem Trojan.Boaxxe, to w ogóle da się ogarnąć czy jestem zmuszony robić format? Aaa przypomniało mi się, jeszcze z google przekierowuje mnie do wyszukiwarki cse.google.

Miszel03 · 1 Stycznia 2017

System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania.

Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X]
HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0
HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] ()
C:\Program Files (x86)\Curoydrerguse Log
ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} -  -> Brak pliku
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X]
S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Scrop\AppData\Local\Mozilla
C:\Users\Scrop\AppData\Roaming\Mozilla
C:\Users\Scrop\AppData\Roaming\Profiles
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Obecny profil przeglądarki Google Chrome jest prefabrykowany i wstawiony przez adware. Należy go całkowicie skasować i założyć nowy.

Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby.

3. Ze względu na uszkodzony AdwCleaner pobierz nowy (KLIK) i zrób raport wykrytych zagrożeń z opcji Szukaj.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes.

OverTheCuckoosNest · 1 Stycznia 2017

Zrobiłem to co trzeba jeśli chodzi o fixlist, aczkolwiek gdy uruchamiam adwcleaner i skanuje to jest ten sam error, a mianowicie "sqlite3.dll is corrupted".

Dodaje plik z fixlog może to coś Ci wyjaśni.

Fixlog.txt

Miszel03 · 1 Stycznia 2017

Nawet po reinstalacji występuję ten błąd?

Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3.

OverTheCuckoosNest · 1 Stycznia 2017

Nie wiedziałem, że to trzeba odinstalować, Twoja rada pomogła. Dodaje logi z adwcleaner.

AdwCleanerS0.txt

OverTheCuckoosNest · 1 Stycznia 2017

Dobra dalej przy uruchamianiu windowsa wyskakuje jakiś błąd, zrobiłem ponownie logi tak jak prosiłeś.

Miszel03 · 1 Stycznia 2017

Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie.

1. Nie skasowałeś poniższego profilu, więc zrób to.

C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData

2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając.

OverTheCuckoosNest · 1 Stycznia 2017

Dobra zrobiłem skan tym programem i pojawiło się kilka zagrożeń, dołączam dokument tekstowy o ile dobrze to zrobiłem. Do tego jeszcze wypisze co jest wykryte i jest opcja "poddaj wybrane kwarantannie" mam to zrobić?

pup.optonial.onlineIO folder c:programdata\microleaves\traffic exchange

trojan.boaxxe c:programfiles\removewat2.2.7\windows_activation.exe

pup.optional.spyhunter c:users\scrop\downloads\shremover.exe

HackTool.WindowsActivation c:users\scrop\downloads\win7activator v2.2.2 + WAT FIX.zip

malwarloginowe.txt

Miszel03 · 1 Stycznia 2017

Do kasacji:

PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903
PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903

Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest.

Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903

HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR  V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903

Podsumuj obecną sytuację.

OverTheCuckoosNest · 1 Stycznia 2017

Usunąłem wszystkie zaistniałe problemy, aczkolwiek po ponownym uruchomieniu systemu nadal wyskakuje jakiś error.

EDIT: Oczywiście bardzo dziękuje za dotychczasową pomoc i bardzo sie to przydało, komputer od razu lepiej funkcjonuje i nie mam tego przekorowania na google.

Miszel03 · 2 Stycznia 2017

EDIT: Oczywiście bardzo dziękuje za dotychczasową pomoc i bardzo sie to przydało, komputer od razu lepiej funkcjonuje i nie mam tego przekorowania na google.

To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK.

Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK.

Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc.

OverTheCuckoosNest · 3 Stycznia 2017

Już wszystko zrobiłem co radziłeś, dziękuje za pomoc(udaną), a temat można zamknąć. Miłego dnia .

Miszel03 · 3 Stycznia 2017

OK.

OverTheCuckoosNest · 8 Stycznia 2017

Odświeżam temat jako iż znowu są problemy. Zaczęła mi wyskakiwać zamiast google inna przeglądarka (tym razem amisites czy coś), więc zrobiłem skan malwarebytes. Ku mojemu zaskoczeniu było prawie 4 tysięcy zagrożeń, a ostatnio nic nie ściągałem, nie kombinowałem z aktywatorem windows ani nic z tych rzeczy, więc nie rozumiem o co chodzi.

Miszel03 · 8 Stycznia 2017

Malwarebytes posprzątał już większość, natomiast nadal siedzi podszywka przeglądarki Google Chrome.

Ku mojemu zaskoczeniu było prawie 4 tysięcy zagrożeń, a ostatnio nic nie ściągałem, nie kombinowałem z aktywatorem windows ani nic z tych rzeczy, więc nie rozumiem o co chodzi.

Liczbą w ogóle się nie przejmuj, bo MBAM znajdując folder infekcji liczy każdy plik z niej jako infekcja to pomyśl co by było gdy są np. zarażone ciasteczka. A jeśli chodzi o sposób zakażenia to ktoś coś musiał zrobić (choćby pobrać coś z dobrych programów).

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
S2 Reopithejatain; C:\Program Files (x86)\Rotsychwopy\Atunoentrpr.dll [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
RemoveDirectory: C:\Program Files (x86)\Coldone
HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Coldone\Application\chrome.exe" "%1" 
C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
Ustaw przeglądarkę Google Chrome jako domyślną

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

coldone

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OverTheCuckoosNest · 10 Stycznia 2017

Zrobiłem wszystko i teraz znów mam dziwny wygląd folderów i tak dalej, jakbym miał jakiś windows98 czy coś, a nie windows 7. Wiem, że to pewnie przez to że kliknąłem 'oczyść' w adwcleanerze, a chciałeś sam raport, myślami byłem gdzie indziej i kliknąłem, potem dopiero pomyślałem, przepraszam za to.