x-kom hosting

Paskudn/-y/-e Spywar/-e/-y/Malwar/-e/-y

Ehalionis
utworzono
utworzono (edytowane)

Witam!!!!

Mam ogromny problem z systemem operacyjnym!!! Mianowicie chyba już od bardzo dłuższego czasu: miałem kolosalne wahania prędkości internetu- czasami wręcz przestawał mi działać. Chodził mi bez przerwy proces o nazwie wmiprvse.exe i unsecapp.exe, które przyczepiły się do firewall'a (COMODO Internet Security Premium)-  konkretnie to o ile dobrze pamiętam cavwp.exe- używały (wmiprvse.exe i unsecapp.exe) od kilkunastu do kilkudziesięciu procent procesora i nie wiem ile dysku twardego. Uruchamiały się niekiedy także procesy wmpnetwk.exe i wmpnscfg.exe. Co więcej podejrzewam, że cały czas konsumowały mi też duże zasoby karty graficznej i pamięci operacyjnej. Poza tym  ładował się moduł wmiprov.dll. Malware ten próbował mi nawet wielokrotnie zmienić hasło do konta administratora. Przeskanowałem system kilkoma programami anti-malware, w tym: IObit Malware Fighter, 360 Total Security, Comodo Antivirus,  Emsisoft Emergency Kit, RogueKiller, Trojan Killer; nawet kilkoma przeciwko rootkitom. Niestety nic nie pomogło- prawie nic nie wykryło i nadal uruchamiały się te procesy (wmiprvse.exe i unsecapp.exe). W ostateczności zdecydowałem się na ręczne usunięcie podejrzanych plików w bezpiecznym rozruchu - teraz już wiem, że było to bardzo lekkomyślne, gdyż one rozpłynęły się jakby w przestrzeni dyskowej, uprzednio dając komunikat błędu, że usunięcie zakończyło się niepowodzeniem - w lokalizacji (C:\Windows\System32\wbem)- były to chyba unsecapp.exe i wmiprvse.exe i jeszcze jakieś, których nazw nie pamiętam i niestety bez powodzenia- wręcz przeciwnie. Po tych czynnościach w systemie nie uruchamiają się już tamte procesy- tylko wywaliło: 2 procesy mscorsvw.exe i pełno procesów svchost.exe (około dziesięciu). Okresowo uruchamiają się też dwa dodatkowe procesy conhost.exe (jeden z nich ma wysoki albo nawet bardzo wysoki priorytet), oprócz 2 stałych. Poza tym jeden stały proces net_svc.exe i jeden okresowy (o średnim albo nawet wysokim priorytecie).

W załączeniu zamieszczam pliki loga FRST. Nie wiem jednak, czy nie został przez te/-n Spywar/-e/-y/Malwar/-e/-y opanowany (czy nie przejął/przejęły nad nim kontroli).

Bardzo proszę o pomoc!!!

Addition.txt FRST.txt Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Wszystkie procesy, o których pisałeś, są legalnymi procesami Microsoftu, więc usuwanie ich to po prostu niszczenie własnego Systemu!

 

1) Odinstaluj ten program:

Cytuj

 

UC Browser (HKLM-x32\...\UCBrowser) (Version: 7.0.185.1002 - UCWeb Inc.) <==== UWAGA

 

 

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

HKLM\ DisallowedCertificates: 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE (Sennheiser) <==== UWAGA

HKLM\ DisallowedCertificates: C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 (DarkMatter CA) <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {2A5282DC-F41B-4E54-8B5B-030FB5AF1112} - System32\Tasks\UCBrowserUpdater => D:\UCBrowser\Application\update_task.exe [566672 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> UCWeb Inc) <==== UWAGA
Task: {46FBE988-8728-4214-B474-784BF6D14AFE} - System32\Tasks\{0B1DC95F-2BF9-42EF-8058-D8126FA525C9} => C:\Windows\system32\pcalua.exe -a D:\downloads\FacebookGameroom.exe -d D:\downloads
Task: {B7507328-6FFA-44EB-9A1D-D19B8DD73025} - System32\Tasks\UCBrowserUpdaterCore => D:\UCBrowser\Application\update_task.exe [566672 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> UCWeb Inc) <==== UWAGA
Task: {EC699FB2-99CD-4C28-A970-80C447D81ED4} - System32\Tasks\{8100916B-CF1D-4C8D-8E98-5F4A3E144F2F} => C:\Windows\system32\pcalua.exe -a "D:\Nexomon-Cracked_PROTECTED\Nexomon Installer.exe" -d D:\Nexomon-Cracked_PROTECTED
BHO-x32: Brak nazwy -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> Brak pliku
R2 UCBrowserSvc; D:\UCBrowser\Application\UCService.exe [656784 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> ) <==== UWAGA
S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
S3 MFE_RR; \??\C:\Users\Hubert\AppData\Local\Temp\mfe_rr.sys [X] <==== UWAGA
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2020-06-22 17:06 - 2020-06-22 17:53 - 000001141 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC Browser.lnk
2020-06-22 17:06 - 2020-06-22 17:53 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC Browser
2020-06-22 17:04 - 2020-06-22 17:06 - 000000000 ____D C:\Users\Hubert\AppData\Local\UCBrowser
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3)

Cytuj

Error: (07/24/2020 07:32:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

4)

Cytuj

Error: (07/24/2020 07:26:20 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:
Uruchomienie usługi zależności lub grupy nie powiodło się
.

Jeśli ten błąd będzie się powtarzał, to konieczne będzie sformatowanie dysku, i wgranie Systemu od nowa.

.

Ehalionis
komentarz
komentarz (edytowane)

Witam!!!

Zapomniałem dodać, że  po najechaniu kursorem na proces wmiprvse.exe w programie "Process Explorer"  pojawiała się nazwa modułu cimwin32.dll w lokalizacji C:\Windows\System32\wbem.

Poza tym dzięki za próbę pomocy w rozwiązaniu tego wielkiego problemu.

13 hours ago, Twój_Anioł_Stróż said:

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

Niestety po uruchomieniu i zainstalowaniu tegoż programu wystąpił błąd, że skrypt został przechwycony, czy coś takiego. Zapomniałem zrobić zrzut ekranu, a niestety nie znam jego ścieżki instalacji. Proszę bardzo, ale to bardzo o dalszą pomoc!!!

Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

nazwa modułu cimwin32.dll w lokalizacji C:\Windows\System32\wbem.

Czyli wystarczy odinstalować pakiet biurowy Microsoftu, i nigdy więcej go nie instalować.

.

Ehalionis
komentarz
komentarz
19 minutes ago, Twój_Anioł_Stróż said:

Czyli wystarczy odinstalować pakiet biurowy Microsoftu, i nigdy więcej go nie instalować.

Ale ja instalowałem tylko wps office, a nie microsoft office.

Twój_Anioł_Stróż
komentarz
komentarz

Masz rację, proces nie jest związany tylko  z microsoftowym pakietem biurowym:

Cytuj

Opis pliku: WMI WIN32 Provider

Niestety, to nie wyjaśnia w niczym Twoich problemów.

Ehalionis
komentarz
komentarz
23 hours ago, Ehalionis said:

W ostateczności zdecydowałem się na ręczne usunięcie podejrzanych plików w bezpiecznym rozruchu

Źle się wyraziłem, bo ja tylko próbowałem je ręcznie usunąć (w trybie awaryjnym [bez obsługi sieci]) poprzez program "UnLock IT"- wyświetliły się wtedy komunikaty błędu: usunięcie zakończyło się niepowodzeniem.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.