• Ogłoszenie:

Komputer strasznie muli

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Komputer strasznie muli

Postprzez przemo38 09 Cze 2017, 19:57

reklama
Witam! Zaraz po uruchomieniu wszystko jest OK. Jednak już po chwili wszystko zwalnia aż wreszcie jakiś proces trwa tak długo, że nie mam cierpliwości czekać. Podczas skanowań pojawił się komunikat o rootkicie - co by to nie było. Proszę o pomoc!
Załączniki
Shortcut.txt
(39.03 KiB) Ściągnięto 103 razy
gmer.txt
(35.25 KiB) Ściągnięto 95 razy
FRST.txt
(86.83 KiB) Ściągnięto 96 razy
Addition.txt
(27.38 KiB) Ściągnięto 94 razy
przemo38
~user
 
Posty: 4
Dołączenie: 09 Cze 2017, 19:48



Komputer strasznie muli

Postprzez ordynat 09 Cze 2017, 21:32

Podczas skanowań pojawił się komunikat o rootkicie

To co GMER uznał za Rootkity, to są prawidłowe procesy, choć są ukryte.

1) Spróbuj odinstalować ten program:
Booking.com version 1.3.0.5019 (HKLM-x32\...\{958A475F-037D-401A-AC05-209725973E11}_is1) (Version: 1.3.0.5019 - Booking.com) <==== UWAGA


2)
Sprawdź usługę "winmgmt" lub napraw WMI.

Jeśli uszkodzone jest "winmgmt", to jest szansa naprawy.
Jeśi uszkodzone jest "WMI", to trzeba będzie sformatować dysk, i wgrać System od nowa.
Sprawdzimy to.

3)
Ścieżka aplikacji powodującej błąd: C:\WINDOWS\system32\taskhostw.exe
Ścieżka modułu powodującego błąd: C:\WINDOWS\system32\InputLocaleManager.dll

Jeszcze jeden powód, by sformatować dysk, i wgrać System od nowa. To niestety częsty błąd Systemowy na WIN 10.

4) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
g: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Pulpit zdalny Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=gbchcmhmhahfdphkhkmpfmihenigjmpp
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <====== UWAGA
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
C:\FOUND.*
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Daj z tego raport.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Komputer strasznie muli

Postprzez przemo38 09 Cze 2017, 22:34

Niestety nie udało się odinstalować booking.com.
Załączniki
Shortcut2.txt
(38.94 KiB) Ściągnięto 96 razy
FRST2.txt
(86.02 KiB) Ściągnięto 104 razy
Addition2.txt
(26.58 KiB) Ściągnięto 97 razy
przemo38
~user
 
Posty: 4
Dołączenie: 09 Cze 2017, 19:48



Komputer strasznie muli

Postprzez ordynat 10 Cze 2017, 07:11

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{958A475F-037D-401A-AC05-209725973E11}_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{958A475F-037D-401A-AC05-209725973E11}_is1

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Daj z tego "fixlog".
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Komputer strasznie muli

Postprzez przemo38 10 Cze 2017, 08:30

Oto fixlog
Załączniki
Fixlog.txt
(1.94 KiB) Ściągnięto 91 razy
przemo38
~user
 
Posty: 4
Dołączenie: 09 Cze 2017, 19:48



Komputer strasznie muli

Postprzez ordynat 10 Cze 2017, 09:26

"winmgmt" jest OK, a więc uszkodzone jest WMI, niestety.

1)
Zresetuj radykalnie Repozytorium WMI. Wstrzymaj usługę Instrumentacji w services.msc (o ile już nie jest zastopowana), opróżnij cały folder C:\WINDOWS\system32\wbem\Repository i zresetuj system.


2) Sprawdź w nowym logu Addition.txt, czy nie ma tam już wpisu:
Sprawdź usługę "winmgmt" lub napraw WMI.


3) Jeśli dalej jest, to:
Otwórz Notatnik i wklej w nim:

cd /d %windir%\system32\wbem
for %%i in (*.dll) do RegSvr32 -s %%i
for %%i in (*.exe) do %%i /RegServer
net stop winmgmt
rd /s /q Repository
net start winmgmt
pause


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik.

Zresetuj system.

4) Sprawdź w nowym logu Addition.txt, czy nie ma tam już wpisu:
Sprawdź usługę "winmgmt" lub napraw WMI.


Jeśli dalej jest, to sformatujesz dysk, i wgrasz System od nowa.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Komputer strasznie muli

Postprzez przemo38 10 Cze 2017, 12:49

Wielkie, wielkie dzięki! Już się biorę do roboty.
przemo38
~user
 
Posty: 4
Dołączenie: 09 Cze 2017, 19:48




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 4 gości