Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

RUNdll - Błąd przy uruchamianiu windows 7

zboro888 31 Sty 2016 22:59 777 5
  • #1 31 Sty 2016 22:59
    zboro888
    Poziom 4  

    Witam,
    Wyskakuje mi błąd przy uruchamianiu windows 7, a mianowicie rundll.
    Wyskakuja dwa okna i nie wiem jak sie ich pozbyc.
    Z góry dzieki za pomoc.
    Logi ze skanowania FRST w zalaczniku.

    0 5
  • #2 01 Lut 2016 00:32
    safbot1st
    Poziom 43  

    Brakuje Addition.txt, a już FRST "krzyczy", że masz zmodyfikowany Hosts.

    Dodano po 12 [minuty]:

    fixlist.txt:

    Spoiler:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    earchScopes: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000 -> DefaultScope {6D4BC286-0918-4B29-B4C2-AA738D839C8A} URL = hxxps://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000 -> {6D4BC286-0918-4B29-B4C2-AA738D839C8A} URL = hxxps://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000 -> {E8D84039-AEB3-4406-845C-3D8F597196A5} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre1.8.0_51\bin\new_plugin\npjp2.dll [Brak pliku]
    FF Extension: "Experience Builder - C:\Users\Tadek\AppData\Roaming\Mozilla\Firefox\Profiles\hmgsh6h2.default\Extensions\@CDD07A25693CDAE405BEE70A23AFCFA1CDD0.xpi [2016-01-31] [Brak podpisu cyfrowego]
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!CDD07A25693CDAE405BEE70A23AFCFA1CDD0.js [2016-01-31] <==== UWAGA
    FF ExtraCheck: C:\Program Files\mozilla firefox\CDD07A25693CDAE405BEE70A23AFCFA1CDD0 [2016-01-31] <==== UWAGA
    S2 NOD32FiXTemDono; C:\Windows\system32\regedt32.exe /s C:\Windows\nod32fixtemdono.reg
    S2 Winsere; "C:\Program Files\Winsere\Winsere\Winsere.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S1 {dceba70f-5909-488d-be47-91bf75d9075e}Gw; system32\drivers\{dceba70f-5909-488d-be47-91bf75d9075e}Gw.sys [X]
    2010-12-26 09:39 - 2010-12-26 09:39 - 0003584 _____ () C:\Users\Tadek\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    C:\Users\Tadek\install_flashplayer16x32axau_mssa_awc_aih.exe
    EmptyTemp:


    No i ciągle brak Additon.txt. Jest za to mała infekcja...

    0
  • #4 01 Lut 2016 01:34
    safbot1st
    Poziom 43  

    EDIT:
    Odinstaluj Experience Builder.
    2 część fixlisty:

    Spoiler:

    CustomCLSID: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2029277311-1685912916-2657734758-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    Task: {04A8BA59-B1B3-4CD1-B815-EE71486468D6} - System32\Tasks\{B1B2D2B2-AEC4-4E25-BE2B-9A2A9E68F52B} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/en/abandoninstall?page=tsMain
    Task: {066C2473-D09B-4D01-9AFB-ACF0281BD450} - System32\Tasks\{8B7ABC76-31BA-490C-BA03-894D1489C944} => C:\Program Files\Skype\\Phone\Skype.exe
    Task: {0CDA4D73-26E6-4A60-97B5-E2D087520E57} - System32\Tasks\{5A2A7719-4EBF-4C69-B1FB-5299FE86FCE3} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/en/abandoninstall?page=tsMain
    Task: {10722753-0680-4E7A-A859-FB9E8EC82564} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2029277311-1685912916-2657734758-1000Core => C:\Users\Tadek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-18] (Facebook Inc.)
    Task: {11A07690-98B2-4DFC-BF2E-1653DB251CA0} - System32\Tasks\{1A9B41A2-03DF-4705-B9A2-1898EEF48D1D} => pcalua.exe -a C:\Users\Tadek\AppData\Local\PPTAssist\utility\uninst.exe
    Task: {12409632-9A82-49F8-9CC1-D053091FEF70} - System32\Tasks\{55DC2AEC-1B48-481B-90C3-74999E8104EA} => Firefox.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/en/abandoninstall?page=tsMain
    Task: {150BF159-49B8-4A50-A8A9-B1E820B28876} - System32\Tasks\{AB709443-07D5-4921-A0FA-2881FD0A38B0} => pcalua.exe -a "C:\Users\Tadek\AppData\Local\Kingsoft\WPS Office\10.1.0.5458\utility\uninst.exe"
    Task: {1B15C3CD-01C4-41BF-A922-72DAFB05858A} - System32\Tasks\{C01A5234-7B6E-4EBB-8862-EC9A0A98F9F4} => pcalua.exe -a C:\Users\Tadek\AppData\Local\PPTAssist\utility\uninst.exe
    Task: {2583F139-C953-48A2-B530-DCD8533A8F84} - System32\Tasks\e-pity2012_kwiecien => C:\pit\e-pity2012\signxml.exe
    Task: {2D1BEDA5-7E87-4F67-8254-C269075AFB30} - System32\Tasks\WinTaske => C:\Program Files\WinTaske\WinTaske\WinTaske.exe




    Task: {2D28BB80-076B-41DD-807D-6433F1ABBE51} - System32\Tasks\Experience Builder2 => Rundll32.exe "C:\Users\Tadek\AppData\Local\Experience Builder\{AD81C7A0-9C79-2F1B-9EDA-7D159B87AC41}\dben.dll",#1 <==== UWAGA
    Task: {34F635B2-D590-4B65-B11B-15E01A58A7A5} - System32\Tasks\{CB471A29-87CD-42ED-884F-0FB63881CE0E} => pcalua.exe -a "C:\Program Files\CleanBrowser\uninstall.exe" -c /uninstallnw
    Task: {4BD33961-905A-4AE5-A04E-8C2EDCCDBE3C} - System32\Tasks\{A14E7B67-EB11-46E3-8A59-EEB6B2D6597E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.5.0.158/en/abandoninstall?page=tsMain
    Task: {5F1125F1-123C-4764-8C76-1775EADEA61D} - System32\Tasks\e-pity2012_styczen => C:\pit\e-pity2012\signxml.exe
    Task: {62615D5D-4C31-42DE-9370-7F46ACD14476} - System32\Tasks\{0320F738-77C7-46E8-B435-41BE4BE162D7} => pcalua.exe -a "C:\Users\Tadek\AppData\Local\Kingsoft\WPS Office\10.1.0.5458\utility\uninst.exe"
    Task: {64602D0B-603C-4D20-A025-2EDF3BE6575E} - System32\Tasks\{2E68F25F-D567-4CC1-9D6B-474F41EFE83E} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe"
    Task: {6AEF0C98-2CB4-4B67-8C70-4C977C7355CC} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc
    Task: {6C5E9127-0916-4D3B-9170-275FF93C8E7E} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2029277311-1685912916-2657734758-1000UA => C:\Users\Tadek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-18] (Facebook Inc.)
    Task: {6E72E80E-FDCE-44B0-AE69-011F43A801F4} - System32\Tasks\{80704959-B01F-40AD-954A-A1CBDFD86780} => Firefox.exe
    Task: {8071A4D9-923E-4FA0-9B54-EBE5C069F7C3} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2016-01-31] (Adobe Systems Incorporated)
    Task: {85FA76F8-90EE-4987-A86C-6CD7AE337C9F} - System32\Tasks\{BA328496-E425-4896-95D4-754E6387B30C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.107/en/abandoninstall?page=tsBing
    Task: {862F220D-97EF-457A-ADF6-858DF749F3CD} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
    Task: {8C34D35B-4384-4B58-8CB2-6FFCD081AD81} - System32\Tasks\{4982AFDC-F27F-4A10-9FEC-3E8628F4569E} => pcalua.exe -a "C:\Users\Tadek\AppData\Local\Kingsoft\WPS Office\10.1.0.5458\utility\uninst.exe"
    Task: {94D220A9-F6EF-46D7-A363-205C8D91D3E6} - System32\Tasks\{C6568BD7-953E-4908-B9D5-EB7D8D250045} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/en/abandoninstall?page=tsMain
    Task: {9B1AECBC-A70F-4F3C-AB53-C2C22ED57301} - System32\Tasks\{BF8F1FC7-E768-452F-8BB8-6C4291FF2DF1} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/en/abandoninstall?page=tsMain
    Task: {9D36F601-B769-49E7-8EEB-D01F159E0FBB} - System32\Tasks\{CE58C2B1-F400-4925-B2A6-879CF67FC2C8} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/en/abandoninstall?page=tsMain
    Task: {ABA7D8C5-D73C-4F56-976D-2FD4A0396A62} - System32\Tasks\{53D8DCF0-F8D0-43C9-B8E1-F8424ECA8273} => Firefox.exe hxxp://ui.skype.com/ui/0/6.0.0.126/en/abandoninstall?page=tsMain
    Task: {C1E6D5F9-DEF3-4A68-83B5-4FB7CC2BFFF3} - System32\Tasks\{07B264C6-00F7-4F12-94D6-BE848FC7F7D4} => Firefox.exe hxxp://ui.skype.com/ui/0/6.0.0.126/en/abandoninstall?page=tsMain
    Task: {CA8DEE0B-CB39-4C43-B76C-D5013748EB46} - System32\Tasks\{F46CC21C-4D61-4E0A-9324-D3E02C523CC2} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.107/en/abandoninstall?page=tsBing
    Task: {D2EBA2EA-07A7-456F-900A-5B930855AD95} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET Smart Security 3.0\upgrade.exe [2015-11-29] (ESET)
    Task: {D622195C-D680-4FEA-9C56-59660C7C9E94} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
    Task: {E6B13B9F-B07C-4B9B-A216-C6DD272AE7B7} - System32\Tasks\{9D091454-E6C8-4AC9-B445-ED46EE18F462} => Firefox.exe
    Task: {EB2C147C-9498-46F1-A948-AFFD439A3077} - System32\Tasks\Experience Builder => Rundll32.exe "C:\Users\Tadek\AppData\Local\Experience Builder\{AD81C7A0-9C79-2F1B-9EDA-7D159B87AC41}\ExperienceBuilder.dll",#1 <==== UWAGA
    Task: {F585A12E-9195-44FF-A7D1-D38FC4EF981C} - System32\Tasks\{221C5360-4783-41D3-9B3C-1BC269D22796} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/en/abandoninstall?page=tsMain
    Task: {FF4DCAE5-5B26-447B-B6F4-C5F8299A1A13} - System32\Tasks\{3F7740EE-A372-4943-96FB-11B6ABA13842} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/en/abandoninstall?page=tsMain
    2015-03-02 21:11 - 2015-02-04 03:05 - 00106640 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax.dll
    C:\Windows\System32\slui.exe
    Hosts:
    EmptyTemp:

    Wyłącz tunelowanie albo je napraw (sterownik).
    Użyj programu DriveCleanup i aktywuj w końcu swojego legalnego windowsa.
    Zamieść Fixlog 1 i 2. Sprawdzę jutro, bo padam na cycki.
    Aha i napisz, czy te dll, których nazw nie podałeś, ciągle Ci się włączają...

    Dodano po 4 [minuty]:

    ps. wytłumaczysz mi kto te www zablokował i w jakim celu?:
    127.0.0.1 genuine.microsoft.com
    127.0.0.1 mpa.one.microsoft.com
    127.0.0.1 sls.microsoft.com
    127.0.0.1 down.baidu2016.com
    127.0.0.1 123.sogou.com
    127.0.0.1 www.czzsyzgm.com
    127.0.0.1 www.czzsyzxl.com

    Dodano po 2 [minuty]:

    Tak pytam z ciekawości.
    Usuń C:\FRST.

    0
  • #5 01 Lut 2016 02:43
    zboro888
    Poziom 4  

    Wielkie dzieki :) okienka przestaly sie pojawiać. W załączniku fixlog. Jezeli chodzi o te adresy to nie ja je zablokowałem. Na wszelki wypadek usunalem ten plik z tymi adresami. Jezeli chodzi o Experience Builder to pokazywalo błąd rundll, że nie moge odnależc takiego modułu o w/w nazwie i dalej nie moge odinstalowac tego EB. Jeszcze raz bardzo dziekuje za pomoc.

    0
  • #6 01 Lut 2016 09:09
    safbot1st
    Poziom 43  

    zboro888 napisał:
    Na wszelki wypadek usunalem ten plik z tymi adresami.

    Nie ma potrzeby. To jest plik systemowy, który i tak się odbudowuje przy restarcie do domyślnej postaci.
    Co do EB - spróbuj go odinstalować za pomocą CCleanera.
    Prawdopodobnie pozostał tylko wpis instalacji do rejestru, można ww. wpis usunąć za pomocą CC właśnie.
    Na wszelki wypadek "przejechałbym" system jeszcze za pomocą Malwarebytes Antimalware MBAM w wersji normal (nie Pro) i AdwCleaner`em.

    0