Ehalionis utworzono 24 lipca 2020 utworzono 24 lipca 2020 (edytowane) Witam!!!! Mam ogromny problem z systemem operacyjnym!!! Mianowicie chyba już od bardzo dłuższego czasu: miałem kolosalne wahania prędkości internetu- czasami wręcz przestawał mi działać. Chodził mi bez przerwy proces o nazwie wmiprvse.exe i unsecapp.exe, które przyczepiły się do firewall'a (COMODO Internet Security Premium)- konkretnie to o ile dobrze pamiętam cavwp.exe- używały (wmiprvse.exe i unsecapp.exe) od kilkunastu do kilkudziesięciu procent procesora i nie wiem ile dysku twardego. Uruchamiały się niekiedy także procesy wmpnetwk.exe i wmpnscfg.exe. Co więcej podejrzewam, że cały czas konsumowały mi też duże zasoby karty graficznej i pamięci operacyjnej. Poza tym ładował się moduł wmiprov.dll. Malware ten próbował mi nawet wielokrotnie zmienić hasło do konta administratora. Przeskanowałem system kilkoma programami anti-malware, w tym: IObit Malware Fighter, 360 Total Security, Comodo Antivirus, Emsisoft Emergency Kit, RogueKiller, Trojan Killer; nawet kilkoma przeciwko rootkitom. Niestety nic nie pomogło- prawie nic nie wykryło i nadal uruchamiały się te procesy (wmiprvse.exe i unsecapp.exe). W ostateczności zdecydowałem się na ręczne usunięcie podejrzanych plików w bezpiecznym rozruchu - teraz już wiem, że było to bardzo lekkomyślne, gdyż one rozpłynęły się jakby w przestrzeni dyskowej, uprzednio dając komunikat błędu, że usunięcie zakończyło się niepowodzeniem - w lokalizacji (C:\Windows\System32\wbem)- były to chyba unsecapp.exe i wmiprvse.exe i jeszcze jakieś, których nazw nie pamiętam i niestety bez powodzenia- wręcz przeciwnie. Po tych czynnościach w systemie nie uruchamiają się już tamte procesy- tylko wywaliło: 2 procesy mscorsvw.exe i pełno procesów svchost.exe (około dziesięciu). Okresowo uruchamiają się też dwa dodatkowe procesy conhost.exe (jeden z nich ma wysoki albo nawet bardzo wysoki priorytet), oprócz 2 stałych. Poza tym jeden stały proces net_svc.exe i jeden okresowy (o średnim albo nawet wysokim priorytecie). W załączeniu zamieszczam pliki loga FRST. Nie wiem jednak, czy nie został przez te/-n Spywar/-e/-y/Malwar/-e/-y opanowany (czy nie przejął/przejęły nad nim kontroli). Bardzo proszę o pomoc!!! Addition.txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 24 lipca 2020 komentarz 24 lipca 2020 (edytowane) Wszystkie procesy, o których pisałeś, są legalnymi procesami Microsoftu, więc usuwanie ich to po prostu niszczenie własnego Systemu! 1) Odinstaluj ten program: Cytuj UC Browser (HKLM-x32\...\UCBrowser) (Version: 7.0.185.1002 - UCWeb Inc.) <==== UWAGA 2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKLM\ DisallowedCertificates: 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE (Sennheiser) <==== UWAGA HKLM\ DisallowedCertificates: C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 (DarkMatter CA) <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy\User: Ograniczenia ? <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {2A5282DC-F41B-4E54-8B5B-030FB5AF1112} - System32\Tasks\UCBrowserUpdater => D:\UCBrowser\Application\update_task.exe [566672 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> UCWeb Inc) <==== UWAGA Task: {46FBE988-8728-4214-B474-784BF6D14AFE} - System32\Tasks\{0B1DC95F-2BF9-42EF-8058-D8126FA525C9} => C:\Windows\system32\pcalua.exe -a D:\downloads\FacebookGameroom.exe -d D:\downloads Task: {B7507328-6FFA-44EB-9A1D-D19B8DD73025} - System32\Tasks\UCBrowserUpdaterCore => D:\UCBrowser\Application\update_task.exe [566672 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> UCWeb Inc) <==== UWAGA Task: {EC699FB2-99CD-4C28-A970-80C447D81ED4} - System32\Tasks\{8100916B-CF1D-4C8D-8E98-5F4A3E144F2F} => C:\Windows\system32\pcalua.exe -a "D:\Nexomon-Cracked_PROTECTED\Nexomon Installer.exe" -d D:\Nexomon-Cracked_PROTECTED BHO-x32: Brak nazwy -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> Brak pliku R2 UCBrowserSvc; D:\UCBrowser\Application\UCService.exe [656784 2018-01-02] (TAOBAO (CHINA) SOFTWARE CO.,LTD. -> ) <==== UWAGA S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X] S3 MFE_RR; \??\C:\Users\Hubert\AppData\Local\Temp\mfe_rr.sys [X] <==== UWAGA S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] 2020-06-22 17:06 - 2020-06-22 17:53 - 000001141 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC Browser.lnk 2020-06-22 17:06 - 2020-06-22 17:53 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC Browser 2020-06-22 17:04 - 2020-06-22 17:06 - 000000000 ____D C:\Users\Hubert\AppData\Local\UCBrowser Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 3) Cytuj Error: (07/24/2020 07:32:26 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi i go uruchom jako Administator. 4) Cytuj Error: (07/24/2020 07:26:20 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: Uruchomienie usługi zależności lub grupy nie powiodło się. Jeśli ten błąd będzie się powtarzał, to konieczne będzie sformatowanie dysku, i wgranie Systemu od nowa. .
Ehalionis komentarz 25 lipca 2020 Autor komentarz 25 lipca 2020 (edytowane) Witam!!! Zapomniałem dodać, że po najechaniu kursorem na proces wmiprvse.exe w programie "Process Explorer" pojawiała się nazwa modułu cimwin32.dll w lokalizacji C:\Windows\System32\wbem. Poza tym dzięki za próbę pomocy w rozwiązaniu tego wielkiego problemu. 13 hours ago, Twój_Anioł_Stróż said: Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi i go uruchom jako Administator. Niestety po uruchomieniu i zainstalowaniu tegoż programu wystąpił błąd, że skrypt został przechwycony, czy coś takiego. Zapomniałem zrobić zrzut ekranu, a niestety nie znam jego ścieżki instalacji. Proszę bardzo, ale to bardzo o dalszą pomoc!!!
Twój_Anioł_Stróż komentarz 25 lipca 2020 komentarz 25 lipca 2020 Cytuj nazwa modułu cimwin32.dll w lokalizacji C:\Windows\System32\wbem. Czyli wystarczy odinstalować pakiet biurowy Microsoftu, i nigdy więcej go nie instalować. .
Ehalionis komentarz 25 lipca 2020 Autor komentarz 25 lipca 2020 19 minutes ago, Twój_Anioł_Stróż said: Czyli wystarczy odinstalować pakiet biurowy Microsoftu, i nigdy więcej go nie instalować. Ale ja instalowałem tylko wps office, a nie microsoft office.
Twój_Anioł_Stróż komentarz 25 lipca 2020 komentarz 25 lipca 2020 Masz rację, proces nie jest związany tylko z microsoftowym pakietem biurowym: Cytuj Opis pliku: WMI WIN32 Provider Niestety, to nie wyjaśnia w niczym Twoich problemów.
Ehalionis komentarz 25 lipca 2020 Autor komentarz 25 lipca 2020 23 hours ago, Ehalionis said: W ostateczności zdecydowałem się na ręczne usunięcie podejrzanych plików w bezpiecznym rozruchu Źle się wyraziłem, bo ja tylko próbowałem je ręcznie usunąć (w trybie awaryjnym [bez obsługi sieci]) poprzez program "UnLock IT"- wyświetliły się wtedy komunikaty błędu: usunięcie zakończyło się niepowodzeniem.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.