Wywalające sterowniki do USB

[Revasion]

Niestety nie mam żadnego punktu przywracania systemu.

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
R2 Hamachi2Svc; B:\Programy\Hamachi\hamachi-2.exe -s [X]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Launcher.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKU\S-1-5-21-928756709-3572272435-279164728-1000\...\MountPoints2: M - M:\setup\rsrc\Autorun.exe
HKU\S-1-5-21-928756709-3572272435-279164728-1000\...\MountPoints2: {50a8c2fe-9051-11e5-be49-64315030769e} - N:\SETUP.EXE
HKU\S-1-5-21-928756709-3572272435-279164728-1000\...\MountPoints2: {5ec15c3d-78e8-11e5-afd0-64315030769e} - E:\Autorun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.9B05 PID_0083
HKU\S-1-5-21-928756709-3572272435-279164728-1000\...\MountPoints2: {91593695-78d2-11e5-bd55-64315030769e} - M:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-928756709-3572272435-279164728-1000\...\MountPoints2: {eed3dc0c-a89f-11e5-bfb4-0015833d0a57} - F:\FalloutLauncher.exe
HKLM-x32\...\Run: [LogMeIn Hamachi Ui] => "B:\Programy\Hamachi\hamachi-2-ui.exe" --auto-start
2015-10-22 17:00 - 2015-10-22 17:00 - 0011587 _____ () C:\Program Files\installation_status.xml
2015-10-22 17:00 - 2015-12-19 18:08 - 0000625 _____ () C:\Program Files\installer_prefs.json
2015-10-22 17:00 - 2015-09-17 10:00 - 0955512 _____ (Opera Software) C:\Program Files\launcher.exe
2015-10-22 17:00 - 2015-09-04 23:06 - 0000318 _____ () C:\Program Files\launcher.visualelementsmanifest.xml
2015-10-22 17:00 - 2015-09-04 23:06 - 0003072 _____ () C:\Program Files\Resources.pri
2015-10-22 17:00 - 2015-10-22 16:58 - 0000897 _____ () C:\Program Files\server_tracking_data
2015-11-18 17:12 - 2015-11-18 17:12 - 0000834 _____ () C:\Users\HP\AppData\Local\recently-used.xbel
Task: {09FFE721-29D3-4EC5-8E68-498BEDCCFEB7} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {1A2958D0-59E5-4917-8375-90DDDC1E2BC2} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-11-02] (Adobe Systems Incorporated)
Task: {1E13A3E2-8FFA-4C88-8A2F-81921BCB091A} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {31A97679-02A2-4676-A9CF-5A5980CA9CE0} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {4734BC5C-7E5C-424A-81A7-91D6020815FE} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_19_0_0_226_pepper.exe
Task: {4B83F90B-01F8-49B1-AF22-080C8990FF68} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corporation)
Task: {75023740-9CE2-4AFC-9238-88470F6B4734} - System32\Tasks\Opera scheduled Autoupdate 1445529626 => C:\Program Files\launcher.exe [2015-09-17] (Opera Software)
Task: {83A6E7F4-B012-45CA-9518-1F64CFB05261} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2015-08-05] (COMODO)
Task: {A2FFE198-7812-4FE8-A5D3-80CB9789DE79} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime => C:\Windows\system32\GWX\GWXUXWorker.exe [2015-12-18] (Microsoft Corporation)
Task: {D5FE9E96-86EA-4FCF-93CA-522105633113} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-11-27] (Piriform Ltd)
Task: {DE762404-7A00-4296-8BE8-D261952A0648} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {DEFEB324-E180-41B9-920A-64B6DA49A342} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {E6F562A0-FBAB-4C95-9C85-53D64611B917} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-12-09] (Adobe Systems Incorporated)
Task: {F9B11176-8054-4F7E-834D-BCEC4EAC3077} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime => C:\Windows\system32\GWX\GWXUXWorker.exe [2015-12-18] (Microsoft Corporation)
Task: {FD4713B5-F2A9-48E6-8DEE-536D8D0F11BA} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: C:\Windows\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_19_0_0_226_pepper.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[Revasion]

Problem dalej występuje.

fix: Dostępne tylko dla zarejestrowanych użytkowników
JTR: Dostępne tylko dla zarejestrowanych użytkowników
AdwCleaner: Nic nie znalazło
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Chciałbym zwrócić uwagę na mój wcześniejszy post:

Mpfilt.sys is a part of Win XP (possibly also Win7). Its the driver for USB HID. If the driver isnt loaded USB keyboards and USB mice dont work any more.


Sterownik ten może być zainstalowany przez programy trzecie jak choćby przez AlcorMP (USB MPtool) program do formatowania pendraka.

Tak się składa, że właśnie wczoraj używałem tego programu do naprawy pena. Może to przez to?

Zainteresowałem się mpfilt.sys. Usunąłem go z lokalizacji C:\Windows\SysWow64\drivers\

Następnie w rejestrze wyszukałem i usunąłem:

HKLM\system\currentcontrolset\services\mpfilt
HKLM\system\controlset001\services\mpfilt
HKLM\system\controlset002\services\mpfilt

oraz klucze Lowerfilters mające wartość mpfilt.sys w gałęziach:
HKLM\SYSTEM\currentcontrolset\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}
HKLM\SYSTEM\controlset001\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}
HKLM\SYSTEM\controlset002\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}

Też mam ten plik. Może powinienem zrobić tak samo?

[djarta]

Narzędzie związane z aktualizacją firmware pendrive wprowadziło w system ten sterownik:

S3 mpfilt; C:\Windows\SysWOW64\drivers\mpfilt.sys [7680 2015-12-24] (Alcor Micro, Corp.) [Brak podpisu cyfrowego]

Ten sterownik nakłada filtry na urządzenia USB i może prowadzić właśnie do takich efektów które Ty posiadasz.

Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

Kod: Zaznacz cały

:regfind
mpfilt

:filefind
mpfilt


Klik w Look. Załącz raport który wyskoczy.

[Revasion]

Tutaj przeinstalowałem sterowniki więc porty działają(do restartu oczywiście)
Dostępne tylko dla zarejestrowanych użytkowników
Zaraz dam jak porty nie działają.

[djarta]

1. Otwórz Notatnik i wklej w nim:

sc stop mpfilt
sc delete mpfilt
del /q C:\Windows\SysWOW64\drivers\mpfilt.sys
reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} /v LowerFilters /f
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik (z uprawnieniami Administrator)
Zrestartuj system.

[Revasion]

Działa!
Dziękuje bardzo za pomoc, szkoda tylko, że nie od razu zaczęliśmy od tego. No ale nic. Dziękuje jeszcze raz.

Temat do zamknięcia.