maniekr7 Opublikowano 31 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 Dzień dobry, laptop znajomego kiedy ma aktywne połączenie z Internetem spowalnia do tego stopnia, że zrobienie na nim czegokolwiek graniczy z cudem. Po wyłączeniu połączenia sieciowego problem znika. Z powodu wrodzonej nadgorliwości przeskanowałem maszynę AdwCleaner'em i Combofix'em :-/ Logi: AdvCleaner: AdwCleanerC1.txt AdwCleanerS1.txt AdwCleanerS2.txt Combofix: ComboFix.txt wiem że nie powinienem ... :-( Zainstalowany w systemie NOD32 wywala taki komunikat "Analiza protokołów aplikacji nie będzie wykonywana. Wystąpił błąd podczas uruchamiania usług. Analiza protokołów aplikacji (POP3, HTTP) nie będzie wykonywana." Wcześniej wykonałem: - chkdsk /r - sfc /scannow - skanowanie dysku w innym kompie przez Eset Smart Security - nic nie znalazł GMER sygnalizuje, że system jest zainfekowany - "GMER odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT'a" Zamieszczam wymagane logi: Addition.txt FRST.txt Shortcut.txt GMER.txt pozdrawiam, Mariusz Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 S3 BFE; . [0 2015-08-31] () <==== UWAGA (zerobajtowy plik/folder) 1) Sprawdź, czy masz plik C:\WINDOWS\system32\bfe.dll 2) Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: bfe.dll kliknij na przycisk "Search Files (Szukaj Plików)". Raport z tego będzie tam, gdzie jest FRST. 3) Sprawdź usługę "winmgmt" lub napraw WMI. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain"Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). 4) Otwórz Notatnik i wklej w nim: S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] File: C:\WINDOWS\system32\bfe.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Powstanie plik fixlog.txt. Daj ten log. 5) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). ------------------------ Jak tylko zauważysz, że @Picasso zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/ jessi Odnośnik do komentarza
maniekr7 Opublikowano 31 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 Dziękuję za szybką odpowiedź 1) Plik jest, w eksploratorze pokazuje 689 KB 2) Log z wyszukiwania BFE.DLL: Search.txt 3) zrobione! 4) Raport z naprawy (naprawa zakończyła się restartem systemu): Fixlog.txt 5) I log z FSS: FSS.txt Zauważyłem olbrzymią poprawę działania systemu! Jednak komunikat w NOD32 występuje nadal - może zainstalować go ponownie? ps. przeżyłem szok: EmptyTemp: => 2.4 GB danych tymczasowych Usunięto. pozdrawiam, Mariusz Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 1) The ImagePath of bfe: ".".Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Pobierz >>ESET ServicesRepairKliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator. 2) Zrób nowy log z FSS jessi Odnośnik do komentarza
maniekr7 Opublikowano 31 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 Nod'a usunąłem, tak na wszelki wypadek. ServicesRepair wyświetlił komunikat: "Multiple Services have been reinstaled. You will need to reboot your computer." - więc reboot ... Potem FSS: FSS.txt Jak widać ciągle jest problem z BFE Zauważyłem też że nie mogę uruchomić (a dokładnie załadować domyślnych ustawień) zapory systemu Windows: Wchodzę w Panel sterowania> System i zabezpieczenia> Zapora systemu Windows i widzę informację że "Zapora systemu windows nie używa zalecanych ustawień w celu ochrony komputera" Klikam "Użyj ustawień zalecanych" i dostaję: "Zapora systemu Windows nie może zmienić niektórych ustawień. Kod błędu: 0x8007042c" pozdrawiam Mariusz Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 Jak widać ciągle jest problem z BFE Tak, dalej jest problem. Być może chodzi o uprawnienia. W tej sytuacji musisz czekać na @Picasso, może Ona to rozgryzie. Jak tylko zauważysz, że @Picasso zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/ jessi Odnośnik do komentarza
maniekr7 Opublikowano 31 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2015 Wielkie dzięki, najważniejsze że komputer zaczął normalnie pracować Odnośnik do komentarza
maniekr7 Opublikowano 2 Września 2015 Autor Zgłoś Udostępnij Opublikowano 2 Września 2015 PROBLEM ROZWIĄZANY! Udało mi się naprawić problem z pomocą tutoriala Picasso https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/ Po drodze miałem mały problem, otóż przy próbie rekonstrukcji klucza Zapora systemu Windows (MpsSvc) dostawałem komunikat o nie wprowadzeniu zmian do rejestru z powodu braku uprawnień. Więc: - tryb awaryjny - regedit z prawami administratora - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc - ppm > uprawnienia... > Zaawansowane > Uprawnienia > Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu >> właściciel > zaznaczyłem siebie i ptaszek przy "Zmień właściciela dla podkontenerów i obiektów" > ok > w oknie zabezpieczenia dodałem siebie i nadałem sobie pełne prawa do klucza. - usunąłem cały klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc - wcześniej miałem odmowę dostępu - na wszelki wypadek usunąłem pozostałe klucze które miałem rekonstruować , czyli: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\ - teraz rekonstrukcja kluczy wg tutoriala Picasso - "Ręczna odbudowa część 1" - i nadanie stosownych uprawnień do kluczy zapory: BFE, MpsSvc, SharedAccess - tutorial Picasso - "Ręczna odbudowa część 2" i Voilà wszystko chodzi jak należy wielkie podziękowania jessica i Picasso pozdrawiam mariusz Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się